Cómo y por qué desactivar WebUSB y WebBluetooth en Google Chrome

Software

La compañía de Mountain View ha incluido en su navegador web, hace muy poco, un par de APIs nuevas: WebUSB y WebBluetooth. Estas APIs permiten que un sitio web pueda interactuar con dispositivos conectados al equipo en que se esté ejecutando en el navegador web; y como es evidente, lo hagan a través de la conexión física por USB, o bien de manera inalámbrica por Bluetooth. Es algo útil si se aprovecha de tal manera, pero también puede suponer un riesgo para la seguridad de los usuarios y sus dispositivos.

Las nuevas APIs incorporadas en Google Chrome, que permiten la interacción de sites con dispositivos conectados por USB y Bluetooth, ya han empezado a ser aprovechadas a través de ataques de phishing sofisticados. ¿De qué manera? Saltándose la seguridad que proporcionan los sistemas de autenticación en dos pasos, en tanto que permiten llevar a cabo comunicaciones entre un site y un dispositivo conectado, que por USB o Bluetooth, perfectamente podría ser nuestro teléfono inteligente. Es decir, que si se recibe un código de autenticación por SMS, habría forma de ‘rescatarlo’ y que el usuario no perciba intercambio de información entre el ordenador y el smartphone.

Foro de softare en ADSLZone

WebUSB y WebBluetooth en Google Chrome pueden suponer un importante riesgo para la seguridad de tu ordenador y tus cuentas online

Investigadores dedicados a la seguridad informática ya han demostrado que WebUSB -y WebBluetooth- se pueden usar en Google Chrome para la interacción directa con dispositivos de autenticación en dos pasos, saltándose la API de Chrome para el U2F. Este tipo de ataque ignora los sistemas de protección de dispositivos de autenticación en dos factores, siempre y cuando se soporten protocolos no basados en U2F. Por lo tanto, es recomendable que los usuarios desactiven las APIs WebBluetooth y WebUSB en el navegador web, salvo que vayan a utilizarlas con frecuencia y no tengan otra alternativa.

Para ello, únicamente hay que instalar y activar dos extensiones, un pequeño ‘truco de Google Chrome’ que podemos aprovechar con Disable WebUSB y Disable WebBluetooth. Tanto una extensión como la otra –que funcionan de la misma manera- trabajan en segundo plano y sin necesidad de interacción de ningún tipo por parte del usuario. El único ‘problema’ está en que no tienen capacidad de discernir entre solicitudes normales y malintencionadas hacia las APIs; sencillamente las bloquean.

Escrito por Carlos González

Fuente > ghacks