據(jù)BleepingComputer消息，谷歌正在開發(fā)一項(xiàng)不受限制的 WebUSB 新功能，可允許受信任的隔離網(wǎng)絡(luò)應(yīng)用程序繞過 WebUSB API 中的安全限制。

WebUSB 是一種 JavaScript API，能夠讓網(wǎng)絡(luò)應(yīng)用程序訪問計(jì)算機(jī)上的本地 USB 設(shè)備。作為 WebUSB 規(guī)范的一部分，某些接口，比如HID、大容量存儲(chǔ)、智能卡、視頻、音頻/視頻設(shè)備和無線控制器會(huì)受保護(hù)，不能通過網(wǎng)絡(luò)應(yīng)用程序訪問，以防止惡意腳本訪問潛在的敏感數(shù)據(jù)。

此外，WebUSB 規(guī)范還包括一個(gè)阻止列表，禁止通過 API 訪問的特定 USB 設(shè)備，如用于多因素身份驗(yàn)證的 YubiKeys、Google Titan 密鑰和 Feitian 安全密鑰。

谷歌目前正在測試的 "無限制 WebUSB "功能，允許隔離的網(wǎng)絡(luò)應(yīng)用程序訪問這些受限制的設(shè)備和接口。谷歌在 Chrome 瀏覽器的狀態(tài)更新中指出："WebUSB 規(guī)范定義了一個(gè)易受攻擊設(shè)備的屏蔽列表和一個(gè)受保護(hù)接口類的列表，這些設(shè)備和接口類被禁止通過 WebUSB 訪問。有了這項(xiàng)功能，擁有訪問 ‘usb-un-restricted’ 權(quán)限策略功能的隔離網(wǎng)絡(luò)應(yīng)用程序?qū)⒈辉试S訪問這些列表中的設(shè)備和受保護(hù)的接口。“

獨(dú)立網(wǎng)絡(luò)應(yīng)用程序是指不托管在實(shí)時(shí)網(wǎng)絡(luò)服務(wù)器上，而是打包成網(wǎng)絡(luò)捆綁包（Web Bundles）、由開發(fā)人員簽名并分發(fā)給最終用戶的應(yīng)用程序。這些應(yīng)用程序通常供公司內(nèi)部使用。為使其正常運(yùn)行，這些網(wǎng)絡(luò)應(yīng)用必須擁有使用 "USB-unrestricted "功能的權(quán)限。

當(dāng)具有該權(quán)限的應(yīng)用程序試圖訪問 USB 設(shè)備時(shí)，系統(tǒng)會(huì)首先檢查該設(shè)備是否在易受攻擊設(shè)備的攔截列表中。如果是，該設(shè)備通常會(huì)從訪問列表中移除。但使用 "usb-unrestricted "權(quán)限的網(wǎng)絡(luò)應(yīng)用程序可以繞過這一限制。

這一功能無疑會(huì)讓受信任的隔離網(wǎng)絡(luò)應(yīng)用程序能夠訪問更廣泛的 USB 設(shè)備，從而在受信任的環(huán)境中實(shí)現(xiàn)更多功能。谷歌表示，它計(jì)劃在將于 2024 年 8 月發(fā)布 Chome 128 版本中對其進(jìn)行測試。