Google MitM (Man-in-the-Middle – Ortadaki Adam) kimlik avı saldırılarına karşı yeni bir önlem olarak, yeni bir güvenlik güncellemesini duyurdu [1]. Google’ın Hesap Güvenliğinden sorumlu Ürün Yöneticisi Jonathan Skelker’e göre, şirket gömülü tarayıcı çerçeve teknolojisinden başlatılan tüm kullanıcı oturum açma girişimlerini engellemeyi planlıyor. Bu, Chromium Embedded Framework (CEF), XULRunner ve benzeri araçları da kapsıyor.
Çünkü geçtiğimiz yıl, siber suçluların bu araçları MitM (ortadaki adam) saldırılarında çokca kullandığı görülmüş. Google giriş sayfası için kullanıcının web trafiğinin arasına kendilerini yerleştirmeyi başaran sahtekarlar, oturum açma işlemini otomatikleştirmek için genellikle gömülü bir tarayıcı çerçevesi kullanıyorlar.
Kullanıcı Google oturum açma kimlik bilgilerini bir kimlik avı sayfasına girer ve ardından sayfayı çalıştıran sahtekarlar, gerçek Google sunucusunda oturum açma işlemini otomatikleştirmek için gömülü bir tarayıcı çerçevesi kullanır. İki faktörlü kimlik doğrulama sistemlerini atlamak için bu tekniği kullanırlar ve gömülü tarayıcı çerçeveleri genellikle siber-suçlu adına Google sunucuları ile etkileşime giren bileşen oluyor.
Skelker, “Meşru oturum açma ile bu platformlarda MITM saldırısı arasında ayrım yapamayacağımız için, Haziran ayında başlayan gömülü tarayıcı çerçevelerinde oturum açmayı engelleyeceğiz” diyor[1].
Google, geçtiğimiz ekim ayında da JavaScript’in devre dışı bırakıldığı tarayıcılardan gelen giriş girişimlerini yasaklamıştı. Haziran 2016’da ise Google, gömülü tarayıcılardan başlatılan giriş denemelerini engellemişti.
Artık uygulamalarında CEF gibi katıştırılmış tarayıcı çerçevelerini sökmek zorunda kalacak geliştiricilere gelince, Google bunun yerine tarayıcı tabanlı OAuth kimlik doğrulaması kullanılmasını tavsiye ediyor.
Skelker, “Güvenli olmasının yanı sıra, kullanıcıların kimlik avı bilgilerini de girdikleri sayfanın tam URL’sini görmelerini ve iyi bir kimlik avı koruması uygulamalarını pekiştirmelerini sağlıyor. Google Hesabı verilerine erişim gerektiren bir uygulamaya sahip bir geliştiriciyseniz, bugün tarayıcı tabanlı OAuth kimlik doğrulamasını kullanmaya geçin.” diyor.
[1] Better protection against Man in the Middle phishing attacks