Уязвимость в Chrome позволяет обойти систему безопасности Yubikey

В начале февраля 2018 года в Берлине прошла конференция Offensive Con, где исследователи в области компьютерной безопасности Маркус Вервье (Markus Vervier) и Мишель Орру (Michele Orrù) представили метод обхода защиты Yubikey Neo — самого популярного токена двухфакторной аутентификации. В большей степени это касается протокола WebUSB, разработанного в Google.

Google, узнав о проблемах с безопасностью в Chrome, начала работать совместно с FIDO Alliance над устранением бреши. Сообщений о том, что уязвимость браузера была использована, не поступало.

Как работает фишинг с WebUSB

Проблема появилась около полугода назад, когда в Chrome был добавлен протокол WebUSB, который позволяет веб-сайтам напрямую подключаться к разным USB-устройствам: от шлемов виртуальной реальности до 3D-принтеров.

Одним из устройств, поддерживающих данный протокол, является Yubikey Neo — аппаратное средство двухфакторной аутентификации. Оно выполняет проверку подлинности соединения с сайтом, уникальность ключа и подлинность самого веб-сайта, предотвращая кражу учетных данных.

Вервье и Орру написали скрипт, который устанавливал соединение с Yubikey Neo через WebUSB вместо Chrome API. При этом они обошли проверку подтверждения подлинности веб-сайта, которую выполняет браузер.

Также с помощью WebUSB можно осуществлять атаку MITM. Пользователь вводит логин и пароль на фишинговом сайте, который собирает информацию и перенаправляет на реальный сайт.

Перспектива

В долгосрочной перспективе в Chrome может появиться настройка, позволяющая отключать WebUSB для определенных устройств, таких как Yubikey Neo. Тестированию на безопасность подвергалась только продукция Yubico. Аутентификация по смарт-картам тоже может быть уязвимой.

Двухфакторная аутентификация все еще считается самой надежной защитой, однако и она несовершенна.