Google ประกาศยกเลิกการล็อกอินจาก Embedded Browser Framework

Google ได้ประกาศถึงอีกแนวการป้องกันการโจมตีแบบ Man-in-the-middle โดยเดือนมิถุนายนนี้จะเริ่มบล็อกการลงชื่อเข้าใช้ผ่านทาง Embedded Browser Framework ซึ่งสามารถถูกนำไปใช้ประกอบการ Phishing ได้

Credit: Google

Embedded Browser Framework ช่วยให้นักพัฒนาสามารถเพิ่มความสามารถของเว็บบราวนเซอร์เข้าไปในแอปพลิเคชันของตนได้ เช่น Chromium Embedded Framework (CEF), XULRunner และอื่นๆ แต่ประเด็นคือมีหลายครั้งที่คนร้ายใช้ความสามารถดังกล่าวไปเพื่อทำ Man-in-the-Middle เช่น หลังจากดักจับ Credentials จากหน้า Phishing ได้แล้วคนร้ายสามารถทำการล็อกอินอัตโนมัติไปยังบริการจริงของ Google ได้ด้วย Embedded Browser Framework

นอกจากนี้ในฝั่งของการป้องกันเอง Google ก็ไม่สามารถแบ่งแยกระหว่างการล็อกอินแบบถูกต้องและที่ถูก Man-in-the-middle ดังนั้นโซลูชันจึงตอบด้วยการแบนการล็อกอินจาก Browser Framework

อย่างไรก็ตามสำหรับนักพัฒนาที่ใช้การ Authentication ลักษณะนี้ก็สามารถเปลี่ยนไปใช้ OAuth ซึ่งเป็นการอนุญาตแชร์ข้อมูลล็อกอินในขณะที่ชื่อผู้ใช้และรหัสผ่านยังปลอดภัย

ที่มา :  https://www.zdnet.com/article/google-bans-logins-from-embedded-browser-frameworks-to-prevent-mitm-phishing/ และ  https://www.bleepingcomputer.com/news/security/google-to-block-logins-from-embedded-browser-frameworks/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Amazon เผย ย้ายระบบฐานข้อมูลจาก Traditional database ไปยัง AWS ทั้งหมดแล้ว

Amazon ได้ออกมาประกาศความสำเร็จในการย้ายฐานข้อมูลของกลุ่มธุรกิจ Consumer ที่มีขนาดมากกว่า 75 Petabytes บนฐานข้อมูล Oracle Database ไปยังบริการของ Amazon Web Services (AWS) ทั้งหมดแล้ว

VST ECS จับมือ HPE Pointnext เปิดให้บริการ HPE Datacenter Care และ Integration & Performance Services

VST ECS (Thailand) ร่วมกับ HPE Pointnext เปิดให้บริการ HPE Datacenter Care และ Integration and Performance Services …