Google está trabajando en una nueva función WebUSB sin restricciones, que permite que aplicaciones web aisladas y confiables eviten las restricciones de seguridad en la API WebUSB.
WebUSB es una API de JavaScript que permite que las aplicaciones web accedan a dispositivos USB locales en una computadora. como parte de Especificaciones web USBCiertas clases de interfaz están protegidas contra el acceso a través de aplicaciones web para evitar que scripts maliciosos accedan a datos potencialmente confidenciales.
La lista de categorías de interfaz protegida incluye audio, HID (dispositivo de interfaz humana), almacenamiento masivo, tarjeta inteligente, video, dispositivos de audio/video y controlador inalámbrico.
Además, la especificación WebUSB incluye una lista de bloqueo para dispositivos USB específicos a los que la API no puede acceder, como YubiKeys, claves Google Titan y claves de seguridad Feitian, que se utilizan para la autenticación multifactor.
Google ahora está probando «WebUSB no está restringido“Una característica que permite Aplicaciones web aisladas Para acceder a estos dispositivos e interfaces restringidos.
«La especificación WebUSB define una lista de bloqueo de dispositivos vulnerables y una tabla de clases de interfaces protegidas cuyo acceso está bloqueado a través de WebUSB», señaló Google en una actualización de estado de Chrome.
«Con esta función, las aplicaciones web en cuarentena que tienen permiso para acceder a la función de política de permiso USB sin restricciones podrán acceder a dispositivos de la lista bloqueada y clases de interfaz protegidas».
Las aplicaciones web protegidas son aplicaciones que no están alojadas en servidores web activos, sino que se incluyen en paquetes web, están firmadas por su desarrollador y se distribuyen a los usuarios finales. Por lo general, se crean para que las empresas los utilicen dentro de la empresa.
Para que esto funcione, estas aplicaciones web deben tener permiso para utilizar la función USB sin ataduras.
Cuando una aplicación con este permiso intenta acceder a un dispositivo USB, el sistema primero verifica si está en la lista bloqueada de dispositivos vulnerables. Si es así, normalmente el dispositivo se eliminará de la lista de acceso.
Sin embargo, esta restricción se omite para las aplicaciones web que tienen el permiso «usb sin restricciones».
El sistema también verifica si el dispositivo está incluido en la lista de dispositivos permitidos en la aplicación. En caso contrario, se denegará el acceso.
Además, el sistema comprobará si la interfaz a la que se accede está marcada como protegida. Si es así y la aplicación no tiene permiso «usb sin restricciones», se denegará el acceso.
La función propuesta por Google permitiría que aplicaciones web confiables aisladas accedan a una gama más amplia de dispositivos USB, lo que permitiría una mayor funcionalidad en un entorno confiable.
Google dice que planea enviarlo a prueba en el Chome 128, cuyo lanzamiento está previsto para agosto de 2024.
«Fanático del café. Amable aficionado a los zombis. Devoto practicante de la cultura pop. Malvado defensor de los viajes. Organizador típico».