گوگل برای محافظت در مقابل حملات فیشینگ و MitM، لاگین از طریق مرورگرهای تعبیه شده در فریم‌ورک‌ها را مسدود می‌کند.

گوگل برای محافظت در مقابل حملات فیشینگ و MitM، لاگین از طریق مرورگرهای تعبیه شده در فریم‌ورک‌ها را مسدود می‌کند.

گوگل، خبر از یک به‌روزرسانی امنیتی جدید داده است که از لاگین با استفاده از مرورگرهای تعبیه شده در فریم‌ورک‌های مختلف به منظور بهبود حفاظت در برابر حملات فیشینگ و MitM، جلوگیری می‌کند. به گفته Jonathan Skelker مدیر محصول و امنیت حساب گوگل، زمانی که از یک مرورگر تعبیه شده (به عنوان مثال Chromium Embedded Framework - CEF) یا یک پلتفرم خودکار دیگر برای احراز هویت استفاده می‌شود، تشخیص حملات MitM که به شکلی از حملات فیشینگ باشد، بسیار سخت می‌شود. مجرمان سایبری هنگام فرایند لاگین خودکار با استفاده از مرورگرهای تعبیه شده در فریم‌ورک‌های مختلف، با متوقف کردن ترافیک وب، از این تکنولوژی برای انجام حملات MitM یا Man-in-the-Middle و سرقت اعتبارنامه کاربران استفاده می‌کنند. مرورگرهای تعبیه شده در فریم‌ورک‌های مختلف، به هکرها اجازه توقف ترافیک وب را می‌دهند. اگر هر کاربر با استفاده از مرورگرهای تعبیه شده، وارد اعتبار حساب گوگل خود در صفحه فیشینگ شود، فرایند خودکار لاگین با ارتباط با سرور اصلی گوگل، به صورت خودکار انجام می‌شود. در این بین، مهاجم MitM، ارتباطات بین کاربر و گوگل را برای دستیابی به اعتبارنامه‌های کاربر، متوقف می‌کند و همچنین از این تکنیک برای دور زدن احراز هویت دو مرحله‌ای هم استفاده می‌کند. به گفته گوگل، از آنجایی که نمی‌توان لاگین واقعی و حمله MitM را در این پلتفرم‌ها از هم تشخیص داد، پس از ماه ژوئن به بعد، از لاگین با مرورگرهای تعبیه شده در فریم‌ورک‌های مختلف جلوگیری می‌شود. گوگل در سال گذشته برای محافظت از کاربران در برابر حملات مبتنی بر لاگین اعلام کرد که هنگام لاگین، جاواسکریپت باید در مرورگرها فعال باشد. بنابراین گوگل می‌تواند ارزیابی خطر را زمانی‌که اعتبارنامه‌ها در صفحه لاگین وارد می‌شوند، اجرا کند و اگر حمله‌ای را تشخیص داد، لاگین را مسدود کند. پس این خبر جدید، حفاظت بیشتری را در مقابل حملات فیشینگ مبتنی بر اعتبارنامه‌ها و حملات MitM می دهد. به عنوان یک روش جایگزین برای مرورگرهای تعبیه شده در فریم‌ورک‌های مختلف، گوگل پیشنهاد کرده است که توسعه‌دهندگان از احراز هویت تحت مرورگر OAuth استفاده کنند که کاربران را قادر می‌سازد تا URL کامل صفحه‌ای را که اعتبارنامه خود را برای لاگین وارد آن می‌کنند، ببیند. به گفته Jonathan Skelker، اگر توسعه دهنده برنامه‌ای هستید که نیاز به دسترسی به اطلاعات حساب گوگل دارد، از امروز به بعد باید از احراز هویت تحت مرورگر OAuth استفاده کنید.