Gsuiteやgoogleのファンサイト

Google,GAFA関連ニュース

Google

Google の新しいアップデートは、埋め込みブラウザ フレームワークからのログインを禁止することで、フィッシング攻撃に対して役立ちます!/ グーグル

投稿日:

過去数ヶ月間、サイバー犯罪者は、(CEF、XULRunner、および中間者(MitM)攻撃を実行するための他の多くのツールを悪用してきました。これらの攻撃に注意して、うまくいけば、このようなセキュリティ問題に取り組むのに役立つ更新。このアップデートは、Googleのユーザーログインシステムに影響を与えます。

Googleのプロダクトマネージャーでアカウントセキュリティのジョナサン・スケルカー氏はブログ記事で、新しいセキュリティアップデートにより、ハイテク大手は埋め込みブラウザフレームワーク技術によるすべてのユーザーログインの試みを防ぐことを目指していると主張しています。このアプローチは、間違いなくMitM関連のフィッシング攻撃に対するユーザーの保護を提供します。

Googleのログインページは、ログインプロセスを自動化するために埋め込まれたブラウザフレームワークを利用することが多いため、サイバー犯罪者がしばらく前にハッキングを発見してユーザーのウェブトラフィックを中断したのはよく知られている事実です。

「当社は、お客様の情報を安全に保つために、常にフィッシング対策の改善に取り組んでいます」と Google は述べています。さらに、「(Therefor)6月から埋め込みブラウザフレームワークからのサインインをブロックする」と付け加えた。

被害者はフィッシングページにGoogleアカウントの詳細を入力し、その後、ハッカーは埋め込みブラウザフレームワークの助けを借りて、実際のGoogleサーバーでのログインプロセスを自動化します。これにより、2 要素認証システムを回避できます。ここでは、埋め込みブラウザフレームワークがサイバー犯罪者向けのGoogleサーバーと関わる重要なプレーヤーであることをここで述べるべきです。



ハッカーにとってこのアプローチが成功した理由は、Google が本物のログイン試行と MitM 攻撃を区別できないからです。このため、新しいアップデートでは、埋め込みブラウザフレームワークからのログインが完全に禁止されます。このアップデートは、夏が始まるまでにうまくいけば展開されます。

Google が埋め込みブラウザからのログイン試行を禁止したのは今回が初めてではありません。をクリックすると、WebView およびその他の類似の組み込みブラウザからのログイン試行はすべてブロックされました。また、 では、JavaScript が有効になっていない場合に、ブラウザからのログイン試行が禁止されました。

CEF などのツールを使用できないことが原因で影響を受ける可能性のある開発者については、ブラウザーベースの OAuth 認証ソリューションを使用することをお勧めします。これは、フィッシング攻撃から免除され、簡単にGoogleアカウントのデータにアクセスする際に自分のアプリを助けることができます。

写真: ウィーラパトキアツドゥムロン / ゲッティ イメージズ

-Google

Copyright© Google,GAFA関連ニュース , 2020 All Rights Reserved Powered by STINGER.