To zabezpieczenie miało być nie do złamania. Użytkownicy Chrome mogą być zagrożeni

Robert Kędzierski
Eksperci odkryli potencjalną lukę w przeglądarce Chrome, która może prowadzić do przejęcia danych użytkownika. Udało się oszukać zabezpieczenie, które miało być nie do złamania. Na szczęście przeprowadzenie ataku jest bardzo trudne i wymaga eksperckiej wiedzy.

Internauci, którym naprawdę zależy na ochronie danych, doskonale wiedzą, że hasło da się złamać i przejąć. Dlatego stosują bardziej zaawansowane metody. Badacze zajmujący się cyberbezpieczeństwem odkryli właśnie, że fizyczne zabezpieczenie komputera nie jest już tak bezpieczne, jak do tej pory sądzono. Wszystko za sprawą luki w przeglądarce Chrome. 

Przejęcie hasła możliwe 

Chodzi o klucze U2F. To niewielkie urządzenia przypominające pendrive. Po konfiguracji wystarczy taki klucz wpiąć w port USB by mieć pewność, że nikt nie zaloguje się na nasze konto Google czy Facebook na innej maszynie. Klucz może być też używany do zabezpieczenia komputera - po wyjęciu z portu USB nikt nie uzyska dostępu do naszego PC czy Maca. To metoda doskonalsza niż weryfikacja dwustopniowa, polegająca na autoryzacji za pomocą kodu SMS przesłanego na numer telefonu przypisany do konta. Kod da się bowiem przejąć poprzez zainfekowanie smartfonu wirusem przekazującym przestępcom treść wiadomości SMS. 

Czytaj też: Ignorowanie ekspertów skończyło się katastrofą. WannaCry można było uniknąć. 

Klucz YubicoKlucz Yubico Fot. Yubico

Użytkownicy niektórych kluczy Yubikey, jednych z najpopularniejszych pozwalających korzystać z protokołu U2F, mogą być narażeni na atak. Badaczom udało się bowiem wykorzystać wbudowaną w przeglądarkę Chrome funkcję WebUSB do oszukania klucza. Funkcja, która miał ułatwić korzystanie z urządzeń takich jak hełmy do wirtualnej rzeczywistości czy drukarki 3D, okazała się potencjalną bramą dla hakerów.

embed

Odpowiednia konfiguracja pozwala na przeprowadzenie ataku typu man-in-the-middle i przejęcie loginu i hasła za pomocą zwykłego phishingu. A to właśnie przeciwko phishingowi klucze U2F miały chronić przede wszystkim. 

Korzystam z klucza, co robić?

Użytkownicy kluczy Yubico mogą ręcznie wyłączyć funkcje WebUSB - uniemożliwi to ewentualnym atakującym przejęcie kluczy. Należy zaznaczyć, że wykorzystanie luki odkrytej przez badaczy nie należy do łatwych i wymaga sporo pracy. Przeprowadzenie ataku za pomocą tej metody jest dziś mało prawdopodobne, sytuacja może się zmienić w przyszłości. Może okazać się też, że istnieją inne sposoby na "oszukanie" kluczy U2F. To niezbyt dobra wiadomość, bo metoda uznawana za jedną z najdoskonalszych zabezpieczeń fizycznych nie jest idealna. Warto o tym pamiętać szczególnie podczas przeglądania skrzynki z wiadomościami - nieostrożne otwieranie linków i załączników może się skończyć utratą danych, nawet jeśli stosujemy zaawansowane zabezpieczenia. 

***

Veit Stutz: Zamiast wciąż szukać nowych wyzwań, lepiej dłużej zostać na danym stanowisku i wgryźć się w temat [NEXT TIME]

Źródło: wired.com