谷歌擬允許獨立 Web應(yīng)用訪問敏感的USB設(shè)備
據(jù)BleepingComputer消息,谷歌正在開發(fā)一項不受限制的 WebUSB 新功能,可允許受信任的隔離網(wǎng)絡(luò)應(yīng)用程序繞過 WebUSB API 中的安全限制。
WebUSB 是一種 JavaScript API,能夠讓網(wǎng)絡(luò)應(yīng)用程序訪問計算機上的本地 USB 設(shè)備。作為 WebUSB 規(guī)范的一部分,某些接口,比如HID、大容量存儲、智能卡、視頻、音頻/視頻設(shè)備和無線控制器會受保護,不能通過網(wǎng)絡(luò)應(yīng)用程序訪問,以防止惡意腳本訪問潛在的敏感數(shù)據(jù)。
此外,WebUSB 規(guī)范還包括一個阻止列表,禁止通過 API 訪問的特定 USB 設(shè)備,如用于多因素身份驗證的 YubiKeys、Google Titan 密鑰和 Feitian 安全密鑰。
谷歌目前正在測試的 "無限制 WebUSB "功能,允許隔離的網(wǎng)絡(luò)應(yīng)用程序訪問這些受限制的設(shè)備和接口。谷歌在 Chrome 瀏覽器的狀態(tài)更新中指出:"WebUSB 規(guī)范定義了一個易受攻擊設(shè)備的屏蔽列表和一個受保護接口類的列表,這些設(shè)備和接口類被禁止通過 WebUSB 訪問。有了這項功能,擁有訪問 ‘usb-un-restricted’ 權(quán)限策略功能的隔離網(wǎng)絡(luò)應(yīng)用程序?qū)⒈辉试S訪問這些列表中的設(shè)備和受保護的接口?!?/p>
獨立網(wǎng)絡(luò)應(yīng)用程序是指不托管在實時網(wǎng)絡(luò)服務(wù)器上,而是打包成網(wǎng)絡(luò)捆綁包(Web Bundles)、由開發(fā)人員簽名并分發(fā)給最終用戶的應(yīng)用程序。這些應(yīng)用程序通常供公司內(nèi)部使用。為使其正常運行,這些網(wǎng)絡(luò)應(yīng)用必須擁有使用 "USB-unrestricted "功能的權(quán)限。
當(dāng)具有該權(quán)限的應(yīng)用程序試圖訪問 USB 設(shè)備時,系統(tǒng)會首先檢查該設(shè)備是否在易受攻擊設(shè)備的攔截列表中。如果是,該設(shè)備通常會從訪問列表中移除。但使用 "usb-unrestricted "權(quán)限的網(wǎng)絡(luò)應(yīng)用程序可以繞過這一限制。
這一功能無疑會讓受信任的隔離網(wǎng)絡(luò)應(yīng)用程序能夠訪問更廣泛的 USB 設(shè)備,從而在受信任的環(huán)境中實現(xiàn)更多功能。谷歌表示,它計劃在將于 2024 年 8 月發(fā)布 Chome 128 版本中對其進行測試。