Google løser browsersårbarhed, positiv respons vinder ros

Åh, ingen. Det er aldrig trøstende at læse om login-tyverier af nogen art, og det er ikke så mærkeligt, at en sikkerhedsekspert kom med nyheder, da han opdagede et problem med Chrome. Endnu engang, prisen på bekvemmelighed bliver et emne, denne gang i tilbuddet om at gemme Wi-Fi-legitimationsoplysninger og genindtaste dem automatisk for din bekvemmelighed.

Et Chrome-browserproblem blev beskrevet tidligere på måneden, som kunne have efterladt en dør åben for hackere. Den gode nyhed er, at sikkerhedsfejlen i den populære browser blev løst; Google har rettet sårbarheden.

Problemet involverede legitimationsoplysninger, der blev udfyldt automatisk på ukrypterede HTTP-sider. SureCloud leverede den efterfølgende nyhed om, at den seneste opdatering af Chrome (testet mod version 69.0.3497.81) løser problemet. Den seneste version af Chrome-browseren, version 69, er blevet frigivet, og den bar plasteret.

ZDNet sikkerhedsreporter Catalin Cimpanu sagde, at det havde været "et designproblem", som angribere kunne udnytte til at stjæle WiFi-login, enten hjemmefra eller fra firmanetværk.

BetaNews citerede Luke Potter, SureClouds praksisdirektør for cybersikkerhed. "Der er altid en afvejning mellem sikkerhed og bekvemmelighed, men vores forskning viser tydeligt, at funktionen i webbrowsere med lagring af loginoplysninger efterlader millioner af hjemme- og virksomhedsnetværk på vid gab for angreb – også selvom disse netværk angiveligt er sikret med en stærk adgangskode."

Elliot Thompson, en forsker hos det britiske cybersikkerhedsfirma SureCloud, havde sammensat en teknik, der udnyttede designproblemet, sagde Cimpanu. Thompsons "Wi-Jacking" fungerede med Chrome på Windows.

"Under et nyligt engagement fandt vi en interessant interaktion af browseradfærd og en accepteret svaghed i næsten alle hjemmeroutere, der kunne bruges til at få adgang til en enorm mængde WiFi-netværk, " sagde Thompsons SureCloud-indlæg den 4. september.

Browseradfærden relateret til gemte legitimationsoplysninger. Oplysninger gemt i en browser, knyttet til en URL, indsættes automatisk i de samme felter, når de ses igen. Routersvagheden var i brugen af ​​ukrypterede HTTP-forbindelser til administrationsgrænseflader. Thompson, selvom, sagde, at der var en løsning på denne vej til legitimations-tyveri, og han diskuterede det i sit indlæg den 4. september.

"Grundlæggende er dette blot en fejl i måden, hvorpå oprindelser deles og har tillid til mellem netværk. I tilfælde af hjemmeroutere, de er forudsigelige nok til at være et levedygtigt mål. Den nemmeste løsning ville være, at browsere undgår automatisk at udfylde inputfelter på usikrede HTTP-sider. Det er forståeligt, at dette ville forringe brugervenligheden, men det ville i høj grad øge barrieren for legitimationstyveri."

På det tidspunkt, Thompson anbefalede at "Ryd din browsers gemte adgangskoder, og gem ikke legitimationsoplysninger til usikre HTTP-sider."

"Thompson siger, at han rapporterede problemet til Google, Microsoft, og ASUS i marts, dette år, " sagde Cimpanu. "Google adresserede hans rapport ved ikke at tillade Chrome at automatisk udfylde adgangskoder på HTTP-felter."

Ud over Chrome, er andre browsere sårbare? "Firefox, IE/Edge og Safari kræver betydelig brugerinteraktion, så angreb virker, men er mere baseret på social engineering, " sagde Thompson den 4. september. "Med Chrome er det væsentligt mere problemfrit."

Det sædvanlige råd gælder:Opdatering. Cimpanu skrev, "Opdatering til Chrome 69.0.3497.81 eller nyere bør beskytte brugerne mod Wi-Jacking-angreb."

Kommenterer Googles behandling af problemet, Thompson sagde, "Dette er et positivt svar fra Google og er fantastisk at se."

© 2018 Tech Xplore