当你使用其它现有帐号(例如Gmail)来登录某项服务时,嵌入式浏览器常常扮演了实用的角色。然而,对于网络钓鱼攻击者来说,该过程也是个破绽较多的入侵渠道。由于Google并无法通过app中内置的浏览器,来判断该次登录是合法登录或钓鱼行为。该公司决定自6月份起,将禁用所有的嵌入式浏览器登录。
攻击者只要使用Chromium Embedded Framework等途径,就能在用户借嵌入式浏览器登录时,实时拦截其与Google这类服务供应者之间发送的登录数据,甚至是多重身份认证的详细信息。最近数个月来,Google持续着墨于更安全的登录措施,例如去年底它激活了需要JavaScript才能登录的风险管控功能,都是为了能更妥善地保护用户个人信息。
相信不用多久,当你尝试通过其它服务的帐号登录某个app时,会发现自己被带往Chrome、Safari、Firefox或其它浏览器上,以完成相关程序。此外,Google也建议开发人员转向使用基于浏览器OAuth身份验证技术,由于该技术能够显示用户所在页面的网址,应多少能帮助大家识别自己是否正遭遇钓鱼的攻击。