Google, güvenilir izole web uygulamalarının Webusb API'sındaki güvenlik kısıtlamalarını atlamasına izin veren yeni bir sınırsız Webusb özelliği üzerinde çalışıyor.
WebUSB, web uygulamalarının bir bilgisayardaki yerel USB cihazlarına erişmesini sağlayan bir JavaScript API'sıdır. WebUSB spesifikasyonunun bir parçası olarak, kötü amaçlı komut dosyalarının potansiyel olarak hassas verilere erişmesini önlemek için web uygulamaları aracılığıyla erişilmekten korunan belirli arabirim sınıfları vardır.
Korumalı arayüz sınıflarının listesi ses, HID (insan arayüz cihazı), kütle depolama, akıllı kart, video, ses/video cihazları ve kablosuz denetleyicidir.
Buna ek olarak, WebUSB spesifikasyonu, çok faktörlü kimlik doğrulaması için kullanılan Yubikeys, Google Titan Keys ve Feitian güvenlik anahtarları gibi API tarafından erişilemeyen belirli USB cihazlarının bir blok listesini içerir.
Google artık izole web uygulamalarının bu kısıtlı cihazlara ve arayüzlere erişmesine izin veren bir "sınırsız Webusb" özelliğini test ediyor.
Google, "WebUSB spesifikasyonu, savunmasız cihazların bir blok listesini ve Webusb aracılığıyla erişimden engellenen bir korumalı arayüz sınıfı tablosunu tanımlar."
"Bu özellikle," USB-Buluşsuz "izin politikası özelliğine erişme iznine sahip izole edilmiş web uygulamalarının blok listelenmiş cihazlara ve korumalı arabirim sınıflarına erişmesine izin verilecektir."
İzole web uygulamaları, canlı web sunucularında barındırılmamış, ancak Web demetlerine paketlenmiş, geliştiricileri tarafından imzalanmış ve son kullanıcılara dağıtılmış uygulamalardır. Şirketlerin şirket içinde kullanması için yaygın olarak yaratılırlar.
Bu çalışmayı yapmak için, bu Web uygulamalarının "USB-Unrastriced" özelliğini kullanma izni olmalıdır.
Bu izni içeren bir uygulama bir USB cihazına erişmeye çalıştığında, sistem önce savunmasız cihazların blok listesinde olup olmadığını kontrol eder. Eğer ise, cihaz normal olarak erişim listesinden kaldırılır.
Ancak, bu kısıtlama "USB-Buluşsuz" iznine sahip Web Uygulamaları için atlanır.
Sistem ayrıca cihazın uygulamanın izin verilen cihazlar listesinde olup olmadığını kontrol eder. Değilse, erişim reddedilir.
Ek olarak, sistem erişilen arayüzün korunan olarak işaretlenip işaretlenmediğini kontrol edecektir. Eğer öyleyse ve uygulamada "USB-Interested" izni yoksa erişim reddedilir.
Google'ın önerilen özelliği, güvenilir izole web uygulamalarının daha geniş bir USB cihazlarına erişmesini sağlar ve güvenilir bir ortamda daha fazla işlevsellik sağlar.
Google, Ağustos 2024'te piyasaya sürülmesi gereken Chrome 128'de test için göndermeyi planladığını söylüyor.
Kimliğinizi sitelerle güvenli bir şekilde doğrulayan Android Testleri için Chrome özelliği
Google Chrome, performansı artırmak için çerez isteklerini azalttı
Reklam engelleyicileri zayıflatan Google Chrome değişikliği 3 Haziran'da başlıyor
Google, sekmeleri değiştirirken boş sayfalar için Chrome düzeltmesini sunar
Google, bu yıl saldırılarda sömürülen beşinci krom sıfır gün
Kaynak: Bleeping Computer