Рекомендуем почитать:
Xakep #240. Ghidra
- Содержание выпуска
- Подписка на «Хакер»
Инженеры Google продолжают работать над улучшением безопасности пользователей. Напомню, что в конце 2018 года компания рассказывала о механизме, направленном на борьбу с headless-браузерами и ботами. Он не позволяет войти в учетную запись Google, если в браузере отключен JavaScript. Еще раньше, в 2016 году, разработчики приняли аналогичные меры в отношении встроенных браузеров, таких как WebView.
Теперь стало известно, что следующим шагом станет блокировка попыток входа в учетную запись через встроенные браузерные фреймворки, и изменения коснутся Chromium Embedded Framework (CEF), XULRunner и других подобных решений.
Данные меры в первую очередь направлены на борьбу с атаками типа «человек посередине» (man-in-the-middle, MitM) и фишингом. Дело в том, что злоумышленники, имеющие возможность перехвата трафика к странице логина Google, часто используют такие фреймворки для автоматизации своей деятельности, что, к тому же, позволяет им обмануть двухфакторную аутентификацию.
Инженеры Google признают, что они не могут отличить легитимные попытки входа в учетную запись от таких атак, и поэтому фреймворки начнут блокировать начиная с июня 2019 года. Вместо них разработчикам рекомендуют переходить к использованию OAuth.
