Breaking News

Google ประกาศยกเลิกการล็อกอินจาก Embedded Browser Framework

Google ได้ประกาศถึงอีกแนวการป้องกันการโจมตีแบบ Man-in-the-middle โดยเดือนมิถุนายนนี้จะเริ่มบล็อกการลงชื่อเข้าใช้ผ่านทาง Embedded Browser Framework ซึ่งสามารถถูกนำไปใช้ประกอบการ Phishing ได้

Credit: Google

Embedded Browser Framework ช่วยให้นักพัฒนาสามารถเพิ่มความสามารถของเว็บบราวนเซอร์เข้าไปในแอปพลิเคชันของตนได้ เช่น Chromium Embedded Framework (CEF), XULRunner และอื่นๆ แต่ประเด็นคือมีหลายครั้งที่คนร้ายใช้ความสามารถดังกล่าวไปเพื่อทำ Man-in-the-Middle เช่น หลังจากดักจับ Credentials จากหน้า Phishing ได้แล้วคนร้ายสามารถทำการล็อกอินอัตโนมัติไปยังบริการจริงของ Google ได้ด้วย Embedded Browser Framework

นอกจากนี้ในฝั่งของการป้องกันเอง Google ก็ไม่สามารถแบ่งแยกระหว่างการล็อกอินแบบถูกต้องและที่ถูก Man-in-the-middle ดังนั้นโซลูชันจึงตอบด้วยการแบนการล็อกอินจาก Browser Framework

อย่างไรก็ตามสำหรับนักพัฒนาที่ใช้การ Authentication ลักษณะนี้ก็สามารถเปลี่ยนไปใช้ OAuth ซึ่งเป็นการอนุญาตแชร์ข้อมูลล็อกอินในขณะที่ชื่อผู้ใช้และรหัสผ่านยังปลอดภัย

ที่มา :  https://www.zdnet.com/article/google-bans-logins-from-embedded-browser-frameworks-to-prevent-mitm-phishing/ และ  https://www.bleepingcomputer.com/news/security/google-to-block-logins-from-embedded-browser-frameworks/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] Enterprise Container Management with Google Kubernetes Engine

สำหรับผู้ที่ไม่เข้าฟังบรรยาย Tangerine | Google Webinar เรื่อง “Enterprise Container Management with Google Kubernetes Engine (GKE)” พร้อมสาธิตความสามารถเด็ดของ …

ขอเรียนเชิญเข้าร่วมฟังสัมมนาออนไลน์ Emerging Stronger Series

การแพร่ระบาดของ COVID-19 ก่อให้เกิดผลกระทบไปทั่วทุกมุมโลก การเตรียมความพร้อมและวางแผนรับมือที่ชัดเจนกับความไม่แน่นอนท่ามกลาง “ความปกติใหม่” ที่เกิดขึ้น รวมถึงกลยุทธ์ดิจิทัลทรานส์ฟอร์เมชั่นที่องค์กรตั้งรับในวันนี้ จะเป็นตัวกำหนดความสำเร็จอย่างยั่งยืนในอนาคต