A Google está desenvolvendo um novo recurso chamado Unrestricted WebUSB, que permite que aplicativos web isolados confiáveis evitem as restrições de segurança na API WebUSB.
WebUSB é uma API de JavaScript que permite que aplicações web acessem dispositivos USB locais em um computador.
Como parte da especificação WebUSB, existem certas classes de interfaces que são protegidas contra o acesso por aplicações web para prevenir que scripts maliciosos acessem dados potencialmente sensíveis.
A lista de classes de interfaces protegidas inclui áudio, HID (Human Interface Device), armazenamento em massa, cartão inteligente, vídeo, dispositivos de áudio/vídeo e controlador sem fio.
Além disso, a especificação WebUSB inclui uma lista de bloqueio de dispositivos USB específicos que não podem ser acessados pela API, como YubiKeys, chaves Google Titan e chaves de segurança Feitian, que são usadas para autenticação multifatorial.
Agora, a Google está testando um recurso de "WebUSB Sem Restrições" que permite que Aplicativos Web Isolados acessem esses dispositivos e interfaces restritos.
"A especificação WebUSB define uma lista de dispositivos vulneráveis e uma tabela de classes de interfaces protegidas que são bloqueadas de acesso através do WebUSB", observou a Google em uma atualização de status do Chrome.
"Com este recurso, Aplicativos Web Isolados com permissão para acessar a funcionalidade 'usb-unrestricted' da Política de Permissões serão autorizados a acessar dispositivos da lista de bloqueio e classes de interfaces protegidas."
Aplicativos web isolados são aplicações que não estão hospedadas em servidores web ao vivo, mas sim agrupadas em Web Bundles, assinadas por seus desenvolvedores e distribuídas aos usuários finais.
São comumente criados para uso interno de empresas.
Para que isso funcione, esses aplicativos web precisam ter permissão para usar o recurso "usb-unrestricted".
Quando um aplicativo com essa permissão tenta acessar um dispositivo USB, o sistema primeiro verifica se ele está na lista de dispositivos vulneráveis.
Se estiver, o dispositivo é normalmente removido da lista de acesso.
No entanto, essa restrição é contornada para aplicativos web com a permissão "usb-unrestricted".
O sistema também verifica se o dispositivo está na lista de dispositivos permitidos pelo aplicativo.
Se não estiver, o acesso é negado.
Além disso, o sistema verificará se a interface acessada é marcada como protegida.
Se estiver, e o aplicativo não tiver a permissão "usb-unrestricted", o acesso será negado.
O recurso proposto pela Google permite que aplicativos web isolados confiáveis acessem uma gama mais ampla de dispositivos USB, permitindo uma maior funcionalidade em um ambiente confiável.
A Google diz que planeja disponibilizar esse recurso para testes no Chrome 128, que deve ser lançado em agosto de 2024.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...