據(jù)BleepingComputer消息，谷歌正在開發(fā)一項不受限制的 WebUSB 新功能，可允許受信任的隔離網(wǎng)絡(luò)應(yīng)用程序繞過 WebUSB API 中的安全限制。

WebUSB 是一種 JavaScript API，能夠讓網(wǎng)絡(luò)應(yīng)用程序訪問計算機上的本地 USB 設(shè)備。作為 WebUSB 規(guī)范的一部分，某些接口，比如HID、大容量存儲、智能卡、視頻、音頻/視頻設(shè)備和無線控制器會受保護，不能通過網(wǎng)絡(luò)應(yīng)用程序訪問，以防止惡意腳本訪問潛在的敏感數(shù)據(jù)。

此外，WebUSB 規(guī)范還包括一個阻止列表，禁止通過 API 訪問的特定 USB 設(shè)備，如用于多因素身份驗證的 YubiKeys、Google Titan 密鑰和 Feitian 安全密鑰。

谷歌目前正在測試的 "無限制 WebUSB "功能，允許隔離的網(wǎng)絡(luò)應(yīng)用程序訪問這些受限制的設(shè)備和接口。谷歌在 Chrome 瀏覽器的狀態(tài)更新中指出："WebUSB 規(guī)范定義了一個易受攻擊設(shè)備的屏蔽列表和一個受保護接口類的列表，這些設(shè)備和接口類被禁止通過 WebUSB 訪問。有了這項功能，擁有訪問 ‘usb-un-restricted’ 權(quán)限策略功能的隔離網(wǎng)絡(luò)應(yīng)用程序?qū)⒈辉试S訪問這些列表中的設(shè)備和受保護的接口?！?/p>

獨立網(wǎng)絡(luò)應(yīng)用程序是指不托管在實時網(wǎng)絡(luò)服務(wù)器上，而是打包成網(wǎng)絡(luò)捆綁包（Web Bundles）、由開發(fā)人員簽名并分發(fā)給最終用戶的應(yīng)用程序。這些應(yīng)用程序通常供公司內(nèi)部使用。為使其正常運行，這些網(wǎng)絡(luò)應(yīng)用必須擁有使用 "USB-unrestricted "功能的權(quán)限。

當(dāng)具有該權(quán)限的應(yīng)用程序試圖訪問 USB 設(shè)備時，系統(tǒng)會首先檢查該設(shè)備是否在易受攻擊設(shè)備的攔截列表中。如果是，該設(shè)備通常會從訪問列表中移除。但使用 "usb-unrestricted "權(quán)限的網(wǎng)絡(luò)應(yīng)用程序可以繞過這一限制。

這一功能無疑會讓受信任的隔離網(wǎng)絡(luò)應(yīng)用程序能夠訪問更廣泛的 USB 設(shè)備，從而在受信任的環(huán)境中實現(xiàn)更多功能。谷歌表示，它計劃在將于 2024 年 8 月發(fā)布 Chome 128 版本中對其進(jìn)行測試。