science >> Wetenschap >  >> Elektronica

Google lost browserkwetsbaarheid op, positieve reactie wint lof

Oh, Nee. Nooit geruststellend om te lezen over inlogdiefstallen van welke aard dan ook en het is geen wonder dat een beveiligingsspeurder het nieuws haalde toen hij een probleem met Chrome ontdekte. Alweer, de prijs van gemak wordt een onderwerp, deze keer in de aanbieding om wifi-inloggegevens op te slaan en deze voor uw gemak automatisch opnieuw in te voeren.

Eerder deze maand werd een Chrome-browserprobleem beschreven dat een deur voor hackers had kunnen openzetten. Het goede nieuws is dat de beveiligingsfout in de populaire browser is opgelost; Google heeft de kwetsbaarheid verholpen.

Het probleem betrof inloggegevens die automatisch werden ingevuld op niet-versleutelde HTTP-pagina's. SureCloud bracht het daaropvolgende nieuws dat de laatste update van Chrome (getest tegen versie 69.0.3497.81) het probleem heeft verholpen. De nieuwste versie van de Chrome-browser, versie 69, is uitgebracht en het droeg de patch.

ZDNet beveiligingsverslaggever Catalin Cimpanu zei dat het een "ontwerpprobleem" was dat aanvallers konden misbruiken om de wifi-logins te stelen, zowel vanuit huis als vanuit bedrijfsnetwerken.

BetaNieuws citeerde Luke Potter, SureCloud's praktijkdirecteur voor cyberbeveiliging. "Er is altijd een afweging tussen veiligheid en gemak, maar ons onderzoek toont duidelijk aan dat de functie in webbrowsers om inloggegevens op te slaan miljoenen thuis- en bedrijfsnetwerken wijd openstelt voor aanvallen, zelfs als die netwerken zogenaamd beveiligd zijn met een sterk wachtwoord."

Elliot Thompson, een onderzoeker bij het Britse cyberbeveiligingsbedrijf SureCloud, een techniek had bedacht die gebruikmaakte van het ontwerpprobleem, zei Cimpani. Thompson's "Wi-jacking" werkte met Chrome op Windows.

"Tijdens een recente opdracht hebben we een interessante interactie van browsergedrag en een geaccepteerde zwakte gevonden in bijna elke thuisrouter die kan worden gebruikt om toegang te krijgen tot een groot aantal wifi-netwerken, " zei Thompson's SureCloud-post op 4 september.

Het browsergedrag met betrekking tot opgeslagen inloggegevens. Referenties opgeslagen in een browser, gekoppeld aan een URL, worden automatisch in dezelfde velden ingevoegd wanneer ze opnieuw worden bekeken. De zwakte van de router zat in het gebruik van niet-versleutelde HTTP-verbindingen met beheerinterfaces. Thompson, Hoewel, zei dat er een oplossing was voor dit pad naar diefstal van referenties en hij besprak het in zijn post van 4 september.

"In wezen is dit gewoon een fout in de manier waarop de oorsprong wordt gedeeld en vertrouwd tussen netwerken. In het geval van thuisrouters, ze zijn voorspelbaar genoeg om een ​​levensvatbaar doelwit te zijn. De eenvoudigste oplossing zou zijn dat browsers voorkomen dat invoervelden automatisch worden ingevuld op onbeveiligde HTTP-pagina's. Het is begrijpelijk dat dit de bruikbaarheid zou verminderen, maar het zou de drempel voor diefstal van referenties aanzienlijk vergroten."

Destijds, Thompson raadde aan om "Wis de opgeslagen wachtwoorden van uw browser en bewaar geen inloggegevens voor onveilige HTTP-pagina's."

"Thompson zegt dat hij het probleem aan Google heeft gemeld, Microsoft, en ASUS in maart, dit jaar, " zei Cimpanu. "Google heeft zijn rapport aangepakt door Chrome niet toe te staan ​​automatisch wachtwoorden in te vullen op HTTP-velden."

Naast Chroom, zijn andere browsers kwetsbaar? "Firefox, IE/Edge en Safari vereisen veel gebruikersinteractie, dus aanval werkt, maar is meer gebaseerd op social engineering, " zei Thompson op 4 september. "Met Chrome is het aanzienlijk meer naadloos."

Hierbij geldt het gebruikelijke advies:Update. Cimpanu schreef, "Bijwerken naar Chrome 69.0.3497.81 of hoger zou gebruikers moeten beschermen tegen Wi-jacking-aanvallen."

In een reactie op de manier waarop Google het probleem aanpakt, Thompson zei, "Dit is een positieve reactie van Google en geweldig om te zien."

© 2018 Tech Xplore