Google gaat de mogelijkheid om in te loggen via embedded browsers blokkeren. Vanaf juni werken logins via embedded browser frameworks niet meer. Het bedrijf wil gebruikers zo beschermen tegen man-in-the-middleaanvallen.
Google kondigde de maatregelen vrijdag aan. Het bedrijf blokkeert in de toekomst loginmethodes via het Chromium Embedded Framework. Ontwikkelaars kunnen dat gebruiken om een embedded login voor Google-accounts te implementeren in hun applicaties. Gebruikers kunnen dan inloggen in de app zonder naar de browser te worden doorgestuurd. Applicaties als Steam of Feedly gebruiken die functie.
Volgens Google zijn gebruikers door zulke frameworks kwetsbaar voor man-in-the-middle-aanvallen. Het bedrijf kan namelijk niet verifiëren of het in zo'n geval om een legitieme inlog gaat of om een phishing-aanval. Met dat laatste kan een aanvaller inloggegevens ontfutselen, en zelfs tweestapsverificatiecodes verkrijgen als het slachtoffer gebruik maakt van sms.
Google is al langer bezig logins beter te beschermen. Sinds vorig jaar is het bijvoorbeeld verplicht JavaScript in te schakelen bij het inloggen, zodat het bedrijf beter toezicht kan houden op het inlogproces.
Google raadt ontwikkelaars aan om over te stappen naar OAuth-authenticatie in de browser als loginmethode. Daarmee kunnen gebruikers volgens Google ook gelijk de url van een loginpagina zien zodat ze zich beter kunnen beschermen tegen phishing. De maatregel gaat vanaf juni in.