A Google está desenvolvendo um novo recurso chamado Unrestricted WebUSB, que permite que aplicativos web isolados confiáveis evitem as restrições de segurança na API WebUSB.
WebUSB é uma API de JavaScript que permite que aplicações web acessem dispositivos USB locais em um computador.
Como parte da especificação WebUSB, existem certas classes de interfaces que são protegidas contra o acesso por aplicações web para prevenir que scripts maliciosos acessem dados potencialmente sensíveis.
A lista de classes de interfaces protegidas inclui áudio, HID (Human Interface Device), armazenamento em massa, cartão inteligente, vídeo, dispositivos de áudio/vídeo e controlador sem fio.
Além disso, a especificação WebUSB inclui uma lista de bloqueio de dispositivos USB específicos que não podem ser acessados pela API, como YubiKeys, chaves Google Titan e chaves de segurança Feitian, que são usadas para autenticação multifatorial.
Agora, a Google está testando um recurso de "WebUSB Sem Restrições" que permite que Aplicativos Web Isolados acessem esses dispositivos e interfaces restritos.
"A especificação WebUSB define uma lista de dispositivos vulneráveis e uma tabela de classes de interfaces protegidas que são bloqueadas de acesso através do WebUSB", observou a Google em uma atualização de status do Chrome.
"Com este recurso, Aplicativos Web Isolados com permissão para acessar a funcionalidade 'usb-unrestricted' da Política de Permissões serão autorizados a acessar dispositivos da lista de bloqueio e classes de interfaces protegidas."
Aplicativos web isolados são aplicações que não estão hospedadas em servidores web ao vivo, mas sim agrupadas em Web Bundles, assinadas por seus desenvolvedores e distribuídas aos usuários finais.
São comumente criados para uso interno de empresas.
Para que isso funcione, esses aplicativos web precisam ter permissão para usar o recurso "usb-unrestricted".
Quando um aplicativo com essa permissão tenta acessar um dispositivo USB, o sistema primeiro verifica se ele está na lista de dispositivos vulneráveis.
Se estiver, o dispositivo é normalmente removido da lista de acesso.
No entanto, essa restrição é contornada para aplicativos web com a permissão "usb-unrestricted".
O sistema também verifica se o dispositivo está na lista de dispositivos permitidos pelo aplicativo.
Se não estiver, o acesso é negado.
Além disso, o sistema verificará se a interface acessada é marcada como protegida.
Se estiver, e o aplicativo não tiver a permissão "usb-unrestricted", o acesso será negado.
O recurso proposto pela Google permite que aplicativos web isolados confiáveis acessem uma gama mais ampla de dispositivos USB, permitindo uma maior funcionalidade em um ambiente confiável.
A Google diz que planeja disponibilizar esse recurso para testes no Chrome 128, que deve ser lançado em agosto de 2024.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...