Google ประกาศยกเลิกการล็อกอินจาก Embedded Browser Framework

Google ได้ประกาศถึงอีกแนวการป้องกันการโจมตีแบบ Man-in-the-middle โดยเดือนมิถุนายนนี้จะเริ่มบล็อกการลงชื่อเข้าใช้ผ่านทาง Embedded Browser Framework ซึ่งสามารถถูกนำไปใช้ประกอบการ Phishing ได้

Credit: Google

Embedded Browser Framework ช่วยให้นักพัฒนาสามารถเพิ่มความสามารถของเว็บบราวนเซอร์เข้าไปในแอปพลิเคชันของตนได้ เช่น Chromium Embedded Framework (CEF), XULRunner และอื่นๆ แต่ประเด็นคือมีหลายครั้งที่คนร้ายใช้ความสามารถดังกล่าวไปเพื่อทำ Man-in-the-Middle เช่น หลังจากดักจับ Credentials จากหน้า Phishing ได้แล้วคนร้ายสามารถทำการล็อกอินอัตโนมัติไปยังบริการจริงของ Google ได้ด้วย Embedded Browser Framework

นอกจากนี้ในฝั่งของการป้องกันเอง Google ก็ไม่สามารถแบ่งแยกระหว่างการล็อกอินแบบถูกต้องและที่ถูก Man-in-the-middle ดังนั้นโซลูชันจึงตอบด้วยการแบนการล็อกอินจาก Browser Framework

อย่างไรก็ตามสำหรับนักพัฒนาที่ใช้การ Authentication ลักษณะนี้ก็สามารถเปลี่ยนไปใช้ OAuth ซึ่งเป็นการอนุญาตแชร์ข้อมูลล็อกอินในขณะที่ชื่อผู้ใช้และรหัสผ่านยังปลอดภัย

ที่มา :  https://www.zdnet.com/article/google-bans-logins-from-embedded-browser-frameworks-to-prevent-mitm-phishing/ และ  https://www.bleepingcomputer.com/news/security/google-to-block-logins-from-embedded-browser-frameworks/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …