کمیته رکن چهارم – متاسفانه گوگل نمیتواند بین ساینآپهای بیخطر و یک حمله فیشینگ از طریق چارچوب مرورگرهای تعبیهشده تمایز برقرار کند.
گوگل در حال برداشتن گام بلندی در جهت مبارزه با تلاشهای فیشینگ از کاربرانش است.
جاناتان اسکلتر (مدیر محصولات امنیت حساب گوگل) در پستی در بلگ امنیتی این شرکت اعلام کرد که این غول دنیای جستجو بلاک کردن sign-in در اکانتها از طریق مرورگرهای تعبیهشده درون اپلیکیشنها را آغاز خواهد کرد.
مشکلی که در رابطه با مرورگرهای تعبیهشده در اپ وجود دارد، آنگونه که اسکلتر بیان کرده است، این است که باعث میشود تا کاربران گوگل در قبال حملات فیشینگ از جانب بدخواهان آسیبپذیر باشند.
قبلا، توسعهدهندگان طرف ثالث میتوانستند نمونههای مرورگر وب، مانند «چارچوب تعبیهشده کرومیوم»، را به اپهایشان اضافه کنند. این باعث میشد تا کاربران بتوانند، بدون نیاز به sign-up در یک حساب یک پلتفرم جدید، در در یک سرویس لاگین کنند.
با اینکه مرورگرهای تعبیهشده داخلی باعث شدهاند که یک کاربر اپ به آسانی ساینآپ یا لاگین کند، ولی این کار همچنین کار را برای اجرای یک حمله فیشینگ «مرد میانی» آسان کرده است. نقشآفرینان بدخواه ممکن است از چارچوبهای مرورگر تعبیهشده برای زیر نظر گرفتن اساسی فعالیت یک کاربر و سرقت اعتبارنامههای لاگین وی استفاده کنند.
متاسفانه گوگل نمیتواند بین ساینآپهای بیخطر و یک حمله فیشینگ از طریق چارچوب مرورگرهای تعبیهشده تمایز برقرار کند. به این خاطر، این شرکت تصمیم گرفته تا این روش لاگین را به طور کامل ممنوع نماید.
این شرکت موکدا از توسعدهندگان میخواهد از مرورگرهای تعبیهشده برای استفاده از احرازهویت OAuth مبتنی بر مرورگر استفاده کنند. اساسا، وقتی یک کاربر میخواهد با استفاده از حساب گوگلش در یک اپ طرف ثالث لاگین کند، آن اپ صفحه سایناین گوگل را از طریق مرورگر موبایل آن باز میکند. به این طریق کاربر میتواند URL آن سایت را ببیند تا اطمینان حاصل کند که این یک صفحه معتبر گوگل است و نه یک وبسایت فیشینگ وانمودکننده.
گوگل میگوید که مسدود کردن سایناینها از چارچوب مرورگرهای تعبیهشده را در ماه ژوئن آغاز خواهد کرد.
منبع : ایتنا