Breaking News

Google ประกาศยกเลิกการล็อกอินจาก Embedded Browser Framework

Google ได้ประกาศถึงอีกแนวการป้องกันการโจมตีแบบ Man-in-the-middle โดยเดือนมิถุนายนนี้จะเริ่มบล็อกการลงชื่อเข้าใช้ผ่านทาง Embedded Browser Framework ซึ่งสามารถถูกนำไปใช้ประกอบการ Phishing ได้

Credit: Google

Embedded Browser Framework ช่วยให้นักพัฒนาสามารถเพิ่มความสามารถของเว็บบราวนเซอร์เข้าไปในแอปพลิเคชันของตนได้ เช่น Chromium Embedded Framework (CEF), XULRunner และอื่นๆ แต่ประเด็นคือมีหลายครั้งที่คนร้ายใช้ความสามารถดังกล่าวไปเพื่อทำ Man-in-the-Middle เช่น หลังจากดักจับ Credentials จากหน้า Phishing ได้แล้วคนร้ายสามารถทำการล็อกอินอัตโนมัติไปยังบริการจริงของ Google ได้ด้วย Embedded Browser Framework

นอกจากนี้ในฝั่งของการป้องกันเอง Google ก็ไม่สามารถแบ่งแยกระหว่างการล็อกอินแบบถูกต้องและที่ถูก Man-in-the-middle ดังนั้นโซลูชันจึงตอบด้วยการแบนการล็อกอินจาก Browser Framework

อย่างไรก็ตามสำหรับนักพัฒนาที่ใช้การ Authentication ลักษณะนี้ก็สามารถเปลี่ยนไปใช้ OAuth ซึ่งเป็นการอนุญาตแชร์ข้อมูลล็อกอินในขณะที่ชื่อผู้ใช้และรหัสผ่านยังปลอดภัย

ที่มา :  https://www.zdnet.com/article/google-bans-logins-from-embedded-browser-frameworks-to-prevent-mitm-phishing/ และ  https://www.bleepingcomputer.com/news/security/google-to-block-logins-from-embedded-browser-frameworks/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบ 11 ไลบรารีบน RubyGems ถูกฝัง Backdoor แนะควรตรวจสอบ

มีการค้นพบไลบรารี 11 ตัวบน RubyGems Repository ที่ถูกฝังโค้ด Backdoor เอาไว้ ซึ่งตอนนี้ทางทีมงานได้ทำการจัดการแล้วแต่ก็มีการดาวน์โหลดไปแล้วกว่า 3,548 ครั้ง ดังนั้นจึงแนะนำให้ผู้ใช้ตรวจสอบว่าตัวเองได้ดาวน์โหลดไปใช้หรือไม่

[Cisco แกะกล่อง] EP1: รู้จักยุคใหม่ของ WAN Network กับ Cisco SD-WAN

Cisco แกะกล่อง เป็นรายการวิดีโอใหม่จากทาง Cisco ซึ่งจะนำทุกท่านมาร่วมแกะกล่องเทคโนโลยีของ Cisco ในมุมมองที่ง่ายขึ้นและเข้าใจได้มากขึ้น รวมไปถึงอัปเดตเทรนด์ทางด้านนวัตกรรม IT ล่าสุดโดทีมผู้เชี่ยวชาญจากทีม Cisco Thailand เอง