谷歌于6月起不再允许通过嵌入浏览器框架的登录行为
去年年底的时候,谷歌强制要求用户在其浏览器上启用 JavaScript 来登录账户,以便能够实时评估相关的风险。这项措施的终极目标,旨在保护用户免受网络钓鱼攻击 —— 当 Google 的安全系统检测到可疑活动时,此举有助于阻止高风险的登录过程。随着形势变得愈加严峻,谷歌产品经理 Jonathan Skelker 在一篇博客文章中宣布:从 2019 年 6 月份起,该公司将不再允许通过嵌入浏览器框架的登录行为。
据悉,此举旨在解决某种类型的网络钓鱼(亦称“中间人攻击”/ MITM)。近年来,其构成的威胁已日益严重。简而言之,别有用心者可借助中间人攻击来拦截通讯双方的实时信息传递。
这家搜索巨头承认,当在嵌入式浏览器框架(如 Chromium Embedded Framework)上进行验证时,风控系统很难发现这种类型的攻击。除了移除这种框架,该公司别无选择。
此前,谷歌还宣布过其他打击网络钓鱼工具的举措。比如 2017 年 5 月的时候,该公司加强了反网络钓鱼和垃圾邮件工具,声称可实现 99.9% 的检出率。
当月早些时候,针对通过 Google Docs 文件进行网络钓鱼诈骗的问题,该公司还更新了其 Web Apps 的审核流程。