Google sẽ chặn hoạt động đăng nhập từ các framework nhúng trong trình duyệt

Nhằm tăng cường khả năng bảo vệ Chrome trước sự gia tăng nhanh chóng của các cuộc tấn công trung gian man-in-the-middle (MitM), Google cho biết họ sẽ chính thức bổ sung tính năng chặn đăng nhập khỏi các framework nhúng trong trình duyệt (embedded browser framework), được sử dụng với một số hình thức lừa đảo từ tháng 6 tới đây.

Về cơ bản, các framework nhúng trong trình duyệt cho phép nhà phát triển thêm khả năng duyệt web vào một ứng dụng bất kỳ mà họ tạo ra. Một ví dụ phổ biến về framework nhúng trong trình duyệt đó là Chromium Embedded Framework (CEF), cho phép nhà phát triển tiến hành chèn các trình duyệt dựa trên Chromium trong các ứng dụng.

Google sẽ chặn thông tin đăng nhập từ các framework trình duyệt nhúng

Tuy nhiên, các hacker, những kẻ đứng sau một cuộc tấn công lừa đảo có thể sử dụng framework nhúng trong trình duyệt để thực thi JavaScript trên một trang web, và đồng thời có thể tự động hóa hoạt động đăng nhập của người dùng. Trong kịch bản đối với các chiến dịch MitM, kẻ tấn công có thể tự động đăng nhập vào dịch vụ thực của Google sau khi chiếm được thông tin đăng nhập và thậm chí cả mã xác thực hai yếu tố của người dùng.

Rất khó để phát hiện framework nhúng trong trình duyệt

Jonathan Skelker, Giám đốc sản phẩm và Bảo mật tài khoản tại Google, cho rằng không chỉ Google mà đa số các nhà phát triển khác đều gặp khó trong việc “phân biệt giữa một phiên đăng nhập hợp pháp và phiên đăng nhập tới từ những cuộc tấn công MITM trên các nền tảng dịch vụ. Và giải pháp hiệu quả nhất cho vấn đề này chính là chặn hành động đăng nhập thông qua các nền tảng dịch vụ cụ thể”.

Rất khó để phát hiện framework trình duyệt nhúng

Thực tế mà nói thì phương pháp này tuy hiệu quả, nhưng lại có thể gây ảnh hưởng khá nhiều đến các nhà phát triển, bởi giờ đây họ sẽ nghiễm nhiên mất một phương thức dễ dàng đối với việc cung cấp xác thực trong ứng dụng của mình. Một giải pháp thay thế hữu hiệu được đề xuất đó là sử dụng xác thực OAuth dựa trên trình duyệt, cho phép chia sẻ dữ liệu đăng nhập trong khi vẫn đảm bảo giữ an toàn cho các thông tin như tên người dùng và mật khẩu.

“Bên cạnh việc duy trì bảo mật, xác thực OAuth cũng cho phép người dùng xem và quản lý toàn bộ URL của trang nơi họ đang nhập thông tin tài khoản của mình, từ đó giúp củng cố các hoạt động chống lừa đảo hiệu quả hơn”, ông Skelker chia sẻ, đồng thời khuyến nghị các nhà phát triển thực hiện quá trình chuyển đổi cần thiết này.

Động thái cần thiết của Google nhằm bảo vệ thông tin đăng nhập của người dùng

Từ chối xác thực từ các framework nhúng trong trình duyệt là một biện pháp tương tự như những hạn chế mà Google đã công bố vào năm 2016 đối với web views, cũng là một yếu tố có liên quan đến các trình duyệt nhúng.

Động thái cần thiết của Google nhằm bảo vệ thông tin đăng nhập của người dùng

Xu hướng đem lại trải nghiệm đăng nhập an toàn hơn cho người dùng sau đó tiếp tục được Google đẩy mạnh vào cuối tháng 10 năm 2018, khi gã khổng lồ Mountain View thông báo rằng JavaScript nên được bật sẵn trong tất cả các trình duyệt khi đăng nhập vào dịch vụ của Google. Với việc JavaScript hoạt động trên trang đăng nhập, Google có thể chạy phân tích và chỉ cho phép thực hiện phiên truy cập nếu mọi thứ đều ổn.

Bạn có suy nghĩ gì về quyết định này của Google? Hãy để lại ý kiến ở mục bình luận bên dưới nhé!

Thứ Ba, 23/04/2019 16:48
52 👨 618
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ