Googleのプロダクトマネージャーでアカウントセキュリティのジョナサン・スケルカー氏はブログ記事で、新しいセキュリティアップデートにより、ハイテク大手は埋め込みブラウザフレームワーク技術によるすべてのユーザーログインの試みを防ぐことを目指していると主張しています。このアプローチは、間違いなくMitM関連のフィッシング攻撃に対するユーザーの保護を提供します。
Googleのログインページは、ログインプロセスを自動化するために埋め込まれたブラウザフレームワークを利用することが多いため、サイバー犯罪者がしばらく前にハッキングを発見してユーザーのウェブトラフィックを中断したのはよく知られている事実です。
「当社は、お客様の情報を安全に保つために、常にフィッシング対策の改善に取り組んでいます」と Google は述べています。さらに、「(Therefor)6月から埋め込みブラウザフレームワークからのサインインをブロックする」と付け加えた。
被害者はフィッシングページにGoogleアカウントの詳細を入力し、その後、ハッカーは埋め込みブラウザフレームワークの助けを借りて、実際のGoogleサーバーでのログインプロセスを自動化します。これにより、2 要素認証システムを回避できます。ここでは、埋め込みブラウザフレームワークがサイバー犯罪者向けのGoogleサーバーと関わる重要なプレーヤーであることをここで述べるべきです。
ハッカーにとってこのアプローチが成功した理由は、Google が本物のログイン試行と MitM 攻撃を区別できないからです。このため、新しいアップデートでは、埋め込みブラウザフレームワークからのログインが完全に禁止されます。このアップデートは、夏が始まるまでにうまくいけば展開されます。
Google が埋め込みブラウザからのログイン試行を禁止したのは今回が初めてではありません。をクリックすると、WebView およびその他の類似の組み込みブラウザからのログイン試行はすべてブロックされました。また、 では、JavaScript が有効になっていない場合に、ブラウザからのログイン試行が禁止されました。
CEF などのツールを使用できないことが原因で影響を受ける可能性のある開発者については、ブラウザーベースの OAuth 認証ソリューションを使用することをお勧めします。これは、フィッシング攻撃から免除され、簡単にGoogleアカウントのデータにアクセスする際に自分のアプリを助けることができます。
写真: ウィーラパトキアツドゥムロン / ゲッティ イメージズ
