Google 將禁用嵌入式瀏覽器登入以打擊網路釣魚行為

畢竟這類登入的過程較容易產生攻擊的機會。

Google 將禁用嵌入式瀏覽器登入以打擊網路釣魚行為

當你使用其它現有帳號(例如 Gmail)來登入某項服務時,嵌入式瀏覽器常常扮演了實用的角色。然而,對於網路釣魚攻擊者來說,該過程也是個破綻較多的入侵管道。由於 Google 並無法透過 app 中內嵌的瀏覽器,來判斷該次登入是合法登入或釣魚行為。該公司決定自 6 月份起,將禁用所有的嵌入式瀏覽器登入。

攻擊者只要使用 Chromium Embedded Framework 等途徑,就能在用戶藉嵌入式瀏覽器登入時,實時攔截其與 Google 這類服務供應者之間傳送的登入資料,甚至是多重身份認證的詳細資訊。最近數個月來,Google 持續著墨於更安全的登入措施,例如去年底它啟用了需要 JavaScript 才能登入的風險控管功能,都是為了能更妥善地保護用戶個資。

相信不用多久,當你嘗試透過其它服務的帳號登入某個 app 時,會發現自己被帶往 Chrome、Safari、Firefox 或其它瀏覽器上,以完成相關程序。此外,Google 也建議開發人員轉向使用基於瀏覽器 OAuth 身份驗證技術,由於該技術能夠顯示用戶所在頁面的網址,應多少能幫助大家識別自己是否正遭遇釣魚的攻擊。

來源: Google Security Blog

經由: Engadget, 9to5google