Google ประกาศยกเลิกการล็อกอินจาก Embedded Browser Framework

Google ได้ประกาศถึงอีกแนวการป้องกันการโจมตีแบบ Man-in-the-middle โดยเดือนมิถุนายนนี้จะเริ่มบล็อกการลงชื่อเข้าใช้ผ่านทาง Embedded Browser Framework ซึ่งสามารถถูกนำไปใช้ประกอบการ Phishing ได้

Embedded Browser Framework ช่วยให้นักพัฒนาสามารถเพิ่มความสามารถของเว็บบราวนเซอร์เข้าไปในแอปพลิเคชันของตนได้ เช่น Chromium Embedded Framework (CEF), XULRunner และอื่นๆ แต่ประเด็นคือมีหลายครั้งที่คนร้ายใช้ความสามารถดังกล่าวไปเพื่อทำ Man-in-the-Middle เช่น หลังจากดักจับ Credentials จากหน้า Phishing ได้แล้วคนร้ายสามารถทำการล็อกอินอัตโนมัติไปยังบริการจริงของ Google ได้ด้วย Embedded Browser Framework

นอกจากนี้ในฝั่งของการป้องกันเอง Google ก็ไม่สามารถแบ่งแยกระหว่างการล็อกอินแบบถูกต้องและที่ถูก Man-in-the-middle ดังนั้นโซลูชันจึงตอบด้วยการแบนการล็อกอินจาก Browser Framework

อย่างไรก็ตามสำหรับนักพัฒนาที่ใช้การ Authentication ลักษณะนี้ก็สามารถเปลี่ยนไปใช้ OAuth ซึ่งเป็นการอนุญาตแชร์ข้อมูลล็อกอินในขณะที่ชื่อผู้ใช้และรหัสผ่านยังปลอดภัย

ที่มา :  https://www.zdnet.com/article/google-bans-logins-from-embedded-browser-frameworks-to-prevent-mitm-phishing/ และ  https://www.bleepingcomputer.com/news/security/google-to-block-logins-from-embedded-browser-frameworks/