Google работает над новой функцией Unrestricted WebUSB, которая позволяет доверенным изолированным веб-приложениям обходить ограничения безопасности в API WebUSB.
WebUSB — это API JavaScript, который позволяет веб-приложениям получать доступ к локальным USB-устройствам на компьютере. В спецификации WebUSB предусмотрены определённые классы интерфейсов, которые защищены от доступа через веб-приложения, чтобы предотвратить доступ вредоносных сценариев к потенциально конфиденциальным данным.
В список защищённых классов интерфейса входят HID (устройство пользовательского интерфейса), запоминающее устройство, смарт-карта, видео, аудио/видеоустройства и беспроводной контроллер. Кроме того, спецификация WebUSB включает чёрный список определённых USB-устройств, которые не могут быть защищены от доступа через API, например YubiKeys, ключи Google Titan и ключи безопасности Feitian, используемые для многофакторной аутентификации.
В настоящее время Google тестирует функцию. «Спецификация WebUSB определяет чёрный список уязвимых устройств и таблицу классов защищённых интерфейсов, доступ к которым через WebUSB заблокирован», — отмечает компания.
Благодаря этой функции изолированные веб-приложения с разрешением на доступ к функции политики разрешений «без ограничений по USB» получат доступ к заблокированным устройствам и защищённым классам интерфейса. Обычно они создаются для использования внутри компании.
Так, когда приложение с таким разрешением пытается получить доступ к USB-устройству, система сначала проверяет, находится ли оно в чёрном списке уязвимых устройств. Если это так, устройство обычно удаляется из списка доступа. Однако это ограничение будут обходить веб-приложения с разрешением «usb-unrestricted». Система также проверит, находится ли устройство в списке разрешённых для приложения. Дополнительно она удостоверится, помечен ли доступный интерфейс как защищённый.
В итоге функция позволяет доверенным изолированным веб-приложениям получать доступ к более широкому спектру USB-устройств, обеспечивая большую функциональность.
Её начнут тестировать в Chrome 128. Версия выйдет в августе 2024 года.
Ранее сообщалось, что Google тестирует функцию под названием «Digital Credential API» для Chrome на Android. Она позволяет веб-сайтам безопасно запрашивать идентификационную информацию, хранящуюся в мобильных кошельках.
Источник: habr.com
