BleepingComputer消息,谷歌正在开发一项不受限制的 WebUSB 新功能,可允许受信任的隔离网络应用程序绕过 WebUSB API 中的安全限制。
WebUSB 是一种 JavaScript API,能够让网络应用程序访问计算机上的本地 USB 设备。作为 WebUSB 规范的一部分,某些接口,比如HID、大容量存储、智能卡、视频、音频/视频设备和无线控制器会受保护,不能通过网络应用程序访问,以防止恶意脚本访问潜在的敏感数据。
此外,WebUSB 规范还包括一个阻止列表,禁止通过 API 访问的特定 USB 设备,如用于多因素身份验证的 YubiKeys、Google Titan 密钥和 Feitian 安全密钥。
谷歌目前正在测试的「无限制 WebUSB」功能,允许隔离的网络应用程序访问这些受限制的设备和接口。谷歌在 Chrome 浏览器的状态更新中指出:「WebUSB 规范定义了一个易受攻击设备的屏蔽列表和一个受保护接口类的列表,这些设备和接口类被禁止通过 WebUSB 访问。有了这项功能,拥有访问 ‘usb-un-restricted’ 权限策略功能的隔离网络应用程序将被允许访问这些列表中的设备和受保护的接口。」
独立网络应用程序是指不托管在实时网络服务器上,而是打包成网络捆绑包(Web Bundles)、由开发人员签名并分发给最终用户的应用程序。这些应用程序通常供公司内部使用。为使其正常运行,这些网络应用必须拥有使用 「USB-unrestricted」功能的权限。
当具有该权限的应用程序试图访问 USB 设备时,系统会首先检查该设备是否在易受攻击设备的拦截列表中。如果是,该设备通常会从访问列表中移除。但使用「usb-unrestricted」权限的网络应用程序可以绕过这一限制。
这一功能无疑会让受信任的隔离网络应用程序能够访问更广泛的 USB 设备,从而在受信任的环境中实现更多功能。谷歌表示,它计划在 2024 年 8 月发布 Chome 128 版本中对其进行测试。
参考资料:
https://www.bleepingcomputer.com/news/google/google-chrome-to-let-isolated-web-app-access-sensitive-usb-devices/