To zabezpieczenie miało być nie do złamania. Użytkownicy Chrome mogą być zagrożeni

Robert Kędzierski
Eksperci odkryli potencjalną lukę w przeglądarce Chrome, która może prowadzić do przejęcia danych użytkownika. Udało się oszukać zabezpieczenie, które miało być nie do złamania. Na szczęście przeprowadzenie ataku jest bardzo trudne i wymaga eksperckiej wiedzy.

Internauci, którym naprawdę zależy na ochronie danych, doskonale wiedzą, że hasło da się złamać i przejąć. Dlatego stosują bardziej zaawansowane metody. Badacze zajmujący się cyberbezpieczeństwem odkryli właśnie, że fizyczne zabezpieczenie komputera nie jest już tak bezpieczne, jak do tej pory sądzono. Wszystko za sprawą luki w przeglądarce Chrome

Przejęcie hasła możliwe 

Chodzi o klucze U2F. To niewielkie urządzenia przypominające pendrive. Po konfiguracji wystarczy taki klucz wpiąć w port USB by mieć pewność, że nikt nie zaloguje się na nasze konto Google czy Facebook na innej maszynie. Klucz może być też używany do zabezpieczenia komputera - po wyjęciu z portu USB nikt nie uzyska dostępu do naszego PC czy Maca. To metoda doskonalsza niż weryfikacja dwustopniowa, polegająca na autoryzacji za pomocą kodu SMS przesłanego na numer telefonu przypisany do konta. Kod da się bowiem przejąć poprzez zainfekowanie smartfonu wirusem przekazującym przestępcom treść wiadomości SMS. 

Czytaj też: Ignorowanie ekspertów skończyło się katastrofą. WannaCry można było uniknąć. 

Klucz YubicoKlucz Yubico Fot. Yubico

Użytkownicy niektórych kluczy Yubikey, jednych z najpopularniejszych pozwalających korzystać z protokołu U2F, mogą być narażeni na atak. Badaczom udało się bowiem wykorzystać wbudowaną w przeglądarkę Chrome funkcję WebUSB do oszukania klucza. Funkcja, która miał ułatwić korzystanie z urządzeń takich jak hełmy do wirtualnej rzeczywistości czy drukarki 3D, okazała się potencjalną bramą dla hakerów.

embed

Odpowiednia konfiguracja pozwala na przeprowadzenie ataku typu man-in-the-middle i przejęcie loginu i hasła za pomocą zwykłego phishingu. A to właśnie przeciwko phishingowi klucze U2F miały chronić przede wszystkim. 

Korzystam z klucza, co robić?

Użytkownicy kluczy Yubico mogą ręcznie wyłączyć funkcje WebUSB - uniemożliwi to ewentualnym atakującym przejęcie kluczy. Należy zaznaczyć, że wykorzystanie luki odkrytej przez badaczy nie należy do łatwych i wymaga sporo pracy. Przeprowadzenie ataku za pomocą tej metody jest dziś mało prawdopodobne, sytuacja może się zmienić w przyszłości. Może okazać się też, że istnieją inne sposoby na "oszukanie" kluczy U2F. To niezbyt dobra wiadomość, bo metoda uznawana za jedną z najdoskonalszych zabezpieczeń fizycznych nie jest idealna. Warto o tym pamiętać szczególnie podczas przeglądania skrzynki z wiadomościami - nieostrożne otwieranie linków i załączników może się skończyć utratą danych, nawet jeśli stosujemy zaawansowane zabezpieczenia. 

***

Veit Stutz: Zamiast wciąż szukać nowych wyzwań, lepiej dłużej zostać na danym stanowisku i wgryźć się w temat [NEXT TIME]

Źródło: wired.com

Więcej o:
Komentarze (14)
To zabezpieczenie miało być nie do złamania. Użytkownicy Chrome mogą być zagrożeni
Zaloguj się
  • parsingerror2

    Oceniono 2 razy 2

    u2f?

  • spiralli

    Oceniono 3 razy 3

    Dobrze, że wykryli

  • trezsicki

    Oceniono 3 razy 3

    Jeśli ktoś używa U2F to jest na tyle inteligentny że nie kliknie w fałszywą fakturę od operatora, u którego nie ma abonamentu. Chociaż... kto wie...

  • yerry46

    Oceniono 3 razy 3

    No, przecież już lata temu J.Stuhr wieszczył, że... "nie ma takiej rury na świecie, której nie można odetkać". To okazuje się być tezą ponadczasową, uniwersalną... nie do obalenia !

  • kataryniarski

    Oceniono 4 razy 2

    WebUSB można wyłączyć we flagach, bodaj.... taaaaak, właśnie znalazłem rozwiązanie! :D

  • tacx

    Oceniono 7 razy 7

    wystarczy korzystać z telefonów nie mających dostępu do sieci dla sms weryfikacyjnych. Nie wiem czemu ludzie robią przelewy na kilkaset ty posługując się smartfonem. Kompletna głupota

  • piter.pitek

    Oceniono 8 razy 0

    Click bait... Ze niby wszyscy użytkownicy Chrome mogą się obawiać przejęcia ich danych... A chodzi o klucz USB i sprytny sposób oszukania go za pomocą komunikacji przez port USB z tym kluczem z poziomu Chrome. Totalne pomieszanie z poplątaniem za które Chrome powinien się od autora domagać rekompensaty za psucie opinii.

Aby ocenić zaloguj się lub zarejestrujX