Google está trabajando en una nueva función WebUSB sin restricciones, que permite que aplicaciones web aisladas confiables eludan las restricciones de seguridad en la API WebUSB.
WebUSB es una API de JavaScript que permite que las aplicaciones web accedan a dispositivos USB locales en una computadora. En el cuadro de Especificación WebUSBAlgunas clases de interfaz están protegidas del acceso a través de aplicaciones web para evitar que scripts maliciosos accedan a datos potencialmente confidenciales.
La lista de clases de interfaz protegidas incluye audio, dispositivo de interfaz humana (HID), almacenamiento masivo, tarjeta inteligente, video, dispositivos de audio/video y controlador inalámbrico.
Además, la especificación WebUSB incluye una lista de bloqueo de dispositivos USB específicos a los que la API no puede acceder, como YubiKeys, claves Google Titan y claves de seguridad Feitian, que se utilizan para la autenticación multifactor.
Google está probando actualmente un «WebUSB sin restricciones«característica que permite Aplicaciones web aisladas para acceder a estos dispositivos e interfaces restringidos.
«La especificación WebUSB define una lista de bloqueo de dispositivos vulnerables y una tabla de clases de interfaces protegidas cuyo acceso está bloqueado a través de WebUSB», señaló Google en una actualización de estado de Chrome.
«Con esta función, las aplicaciones web aisladas a las que se les permite acceder a la función de política de permisos ‘USB sin restricciones’ podrán acceder a dispositivos incluidos en la lista negra y clases de interfaz protegidas».
Las aplicaciones web aisladas son aplicaciones que no están alojadas en servidores web activos, sino empaquetadas en paquetes web, firmadas por su desarrollador y distribuidas a los usuarios finales. Por lo general, se crean para que las empresas los utilicen internamente.
Para que esto funcione, estas aplicaciones web deben tener permiso para utilizar la función «USB sin restricciones».
Cuando una aplicación con este permiso intenta acceder a un dispositivo USB, el sistema primero verifica si el dispositivo está en la lista de bloqueo de dispositivos vulnerables. Si es así, el dispositivo normalmente se elimina de la lista de acceso.
Sin embargo, esta restricción se omite para las aplicaciones web con el permiso «usb sin restricciones».
El sistema también verifica si el dispositivo está en la lista de dispositivos permitidos de la aplicación. Si no es así, se deniega el acceso.
Además, el sistema comprueba si la interfaz a la que accede está marcada como protegida. Si este es el caso y la aplicación no tiene el permiso “usb sin restricciones”, se deniega el acceso.
La función ofrecida por Google permite que aplicaciones web aisladas y confiables accedan a una gama más amplia de dispositivos USB, lo que permite una mayor funcionalidad en un entorno confiable.
Google dice que planea enviarlo para probarlo en Chrome 128, que se espera que se lance en agosto de 2024.
