На прошлой неделе на конференции Cloud Next 2019 Google объявила, что все устройства под управлением Android 7.0+ могут выступать в качестве ключей безопасности. Однако на самом деле большинство людей не используют двухфакторную аутентификацию, а другие методы подвержены атакам «человек посередине». Google сейчас работает над противодействием MITM-атакам, блокируя вход из встроенных браузерных фреймворков.
Встроенные браузерные фреймворки позволяют разработчикам добавлять экземпляры веб-браузеров, такие как Chromium, в свои приложения. Это удобно для того, чтобы конечные пользователи могли войти в учетную запись через такие сервисы, как Google, Facebook или Twitter, не переходя в полноэкранный браузер.
Однако с этим удобным процессом входа связаны риски фишинга. Атака «человек посередине» может перехватывать учетные данные и вторые факторы в режиме реального времени, поскольку Google не может «отличить законный вход от MITM-атаки» во встроенных браузерах:
Однако одна из форм фишинга, известная как «человек посередине» (MITM), трудно обнаруживается при использовании встроенного браузерного фреймворка (например, Chromium Embedded Framework – CEF) или другой платформы автоматизации для аутентификации.
Решение Google заключается в блокировке входа из встроенных браузерных фреймворков, начиная с июня этого года. В 2016 году компания аналогично прекратила разрешать запросы OAuth к Google из «веб-представлений» на Android, iOS и настольных компьютерах. Между тем, в прошлом году Google потребовала включить JavaScript для проведения оценки рисков на странице входа.
Разработчикам рекомендуется перейти на браузерную аутентификацию OAuth, где пользователи уже знакомы с процессом входа. Приложения будут перенаправлять пользователей в Chrome, Safari, Firefox и т. д. для ввода пароля, после чего необходимая информация для аутентификации будет передана стороннему клиенту.
Помимо безопасности, это также позволяет пользователям видеть полный URL страницы, на которой они вводят свои учетные данные, укрепляя хорошие практики борьбы с фишингом. Если вы разработчик приложения, которому требуется доступ к данным учетной записи Google, переключитесь на использование браузерной аутентификации OAuth уже сегодня.