最新網際網路文章

Image credit: SIPA USA / PA Images

谷歌将禁用嵌入式浏览器登录以打击网络钓鱼行为

毕竟这类登录的过程较容易产生攻击的机会。

Lanmo Chang
2019 年 4 月 19 日, 傍晚 08:00
SIPA USA / PA Images

当你使用其它现有帐号(例如 Gmail)来登录某项服务时,嵌入式浏览器常常扮演了实用的角色。然而,对于网络钓鱼攻击者来说,该过程也是个破绽较多的入侵渠道。由于谷歌并无法通过 app 中内嵌的浏览器,来判断该次登录是合法登录或钓鱼行为。该公司决定自 6 月份起,将禁用所有的嵌入式浏览器登录。

攻击者只要使用 Chromium Embedded Framework 等途径,就能在用户借嵌入式浏览器登录时,实时拦截其与谷歌这类服务供应者之间传送的登录资料,甚至是多重身份认证的详细信息。最近数个月来,谷歌持续着墨于更安全的登录措施,例如去年底它启用了需要 JavaScript 才能登入的风险控管功能,都是为了能更妥善地保护用户个人信息。

相信不用多久,当你尝试通过其它服务的帐号登录某个 app 时,会发现自己被带往 Chrome、Safari、Firefox 或其它浏览器上,以完成相关程序。此外,谷歌也建议开发人员转向使用基于浏览器 OAuth 身份验证技术,由于该技术能够显示用户所在页面的网址,应多少能帮助大家识别自己是否正遭遇钓鱼的攻击。

article