Google löser webbläsarens sårbarhet, positiv respons vinner beröm

Åh, Nej. Det är aldrig tröstande att läsa om inloggningsstölder av något slag och det är inte konstigt att en säkerhetsforskare kom med nyheter när han upptäckte ett problem med Chrome. Ännu en gång, priset på bekvämlighet blir ett ämne, denna gång i erbjudandet att spara Wi-Fi-uppgifter och ange dem igen automatiskt för din bekvämlighet.

Ett problem med Chrome-webbläsaren beskrevs tidigare denna månad som kunde ha lämnat en dörr öppen för hackare. Den goda nyheten är att säkerhetsfelet i den populära webbläsaren löstes; Google åtgärdade sårbarheten.

Problemet gällde autentiseringsuppgifter som fylldes i automatiskt på okrypterade HTTP-sidor. SureCloud levererade den efterföljande nyheten att den senaste uppdateringen av Chrome (testad mot version 69.0.3497.81) åtgärdade problemet. Den senaste versionen av webbläsaren Chrome, version 69, har släppts och den bar plåstret.

ZDNet säkerhetsreportern Catalin Cimpanu sa att det hade varit "ett designproblem" som angripare kunde utnyttja för att stjäla WiFi-inloggningarna, antingen hemifrån eller från företagsnätverk.

BetaNews citerade Luke Potter, SureClouds praxisansvarig för cybersäkerhet. "Det finns alltid en avvägning mellan säkerhet och bekvämlighet, men vår forskning visar tydligt att funktionen i webbläsare för att lagra inloggningsuppgifter lämnar miljontals hem- och företagsnätverk vidöppna för attacker – även om dessa nätverk förmodligen är säkrade med ett starkt lösenord."

Elliot Thompson, en forskare med det brittiska cybersäkerhetsföretaget SureCloud, hade satt ihop en teknik som utnyttjade designproblemet, sa Cimpanu. Thompsons "Wi-Jacking" fungerade med Chrome på Windows.

"Under ett nyligen engagemang fann vi en intressant interaktion av webbläsarbeteende och en accepterad svaghet i nästan varje hemrouter som kunde användas för att få tillgång till en enorm mängd WiFi-nätverk, " sa Thompsons SureCloud-inlägg den 4 september.

Webbläsarens beteende relaterat till sparade autentiseringsuppgifter. Inloggningsuppgifter sparade i en webbläsare, knuten till en URL, infogas automatiskt i samma fält när de ses igen. Routerns svaghet låg i användningen av okrypterade HTTP-anslutningar till hanteringsgränssnitt. Thompson, fastän, sa att det fanns en lösning för denna väg till legitimationsstöld och han diskuterade det i sitt inlägg den 4 september.

"I grunden är detta bara ett fel i hur ursprung delas och litar på mellan nätverk. När det gäller hemroutrar, de är tillräckligt förutsägbara för att vara ett livskraftigt mål. Den enklaste lösningen skulle vara att webbläsare undviker att automatiskt fylla i inmatningsfält på osäkra HTTP-sidor. Det är förståeligt att detta skulle minska användbarheten, men det skulle avsevärt öka barriären för legitimationsstöld."

Just då, Thompson rekommenderade att "Rensa webbläsarens sparade lösenord och spara inte autentiseringsuppgifter för osäkra HTTP-sidor."

"Thompson säger att han rapporterade problemet till Google, Microsoft, och ASUS i mars, det här året, " sa Cimpanu. "Google tog upp hans rapport genom att inte tillåta Chrome att automatiskt fylla i lösenord i HTTP-fält."

Förutom Chrome, är andra webbläsare sårbara? "Firefox, IE/Edge och Safari kräver betydande användarinteraktion, så attack fungerar, men är mer baserad på social ingenjörskonst, " sa Thompson den 4 september. "Med Chrome är det betydligt mer sömlöst."

Det vanliga rådet gäller:Uppdatera. Cimpanu skrev, "Uppdatering till Chrome 69.0.3497.81 eller senare bör skydda användare från Wi-Jacking-attacker."

Kommenterar Googles åtgärdande av problemet, Thompson sa, "Detta är ett positivt svar från Google och det är fantastiskt att se."

BrambleBee:En autonom robot för att pollinera brambleplantor

Vad händer när dataforskare går igenom tre århundraden av Robinson Crusoe?

Elektronik