Для обхода защиты злоумышленники могут воспользоваться функцией Chrome под названием WebUSB.
Для защиты от фишинговых атак ИБ-эксперты рекомендуют использовать аппаратные токены. К примеру, компания Yubico предлагает токены Yubikey Neo которые, по ее словам, сводят на нет все попытки фишеров взломать учетную запись пользователя, даже если он случайно передал им свои учетные данные. Тем не менее, как сообщает Wired, исследователи безопасности Маркус Вервье (Markus Vervier) и Мишель Орру (Michele Orrù) нашли метод обхода защиты Yubikey Neo.
На конференции Offensive Con в Берлине Вервье и Орру представили способ обхода защиты с помощью аппаратных токенов, заключающийся в использовании новой функции Chrome. С помощью правдоподобного фишингового сайта и функции браузера WebUSB злоумышленник может обманом заставить жертву предоставить свои данные (как при обычном фишинге), а также отправить запрос прямиком со своего вредоносного сайта аппаратному токену жертвы и использовать полученный ответ для взлома ее учетной записи.
По словам исследователей, разработанный ими метод демонстрирует не столько уязвимость Yubikey Neo, сколько недостатки функции WebUSB, появившейся в Chrome в прошлом году. Технически, двухфакторная аутентификация не является взломанной, однако, вопреки распространенному мнению, ее можно обойти.
Осуществить атаку очень сложно. Помимо того, что злоумышленник должен создать правдоподобный фишинговый сайт, он также должен заставить жертву разрешить WebUSB доступ к Yubikey Neo и нажать физическую кнопку на аппаратном ключе. «Вы можете придумать довольно правдоподобный предлог. Пользователю достаточно кликнуть один раз», - пояснил Орру.
В настоящее время Google работает с FIDO Alliance над устранением проблемы. В будущем релизе браузера будет реализовано временное решение, а долгосрочное появится несколько позднее. Случаи эксплуатации уязвимости выявлены не были.