Google тества нова функция, която предотвратява възможността злонамерени публични уебсайтове да се прехвърлят през браузъра на потребителя, за да атакуват устройства и услуги във вътрешни частни мрежи.
Казано по-просто, Google планира да попречи на лошите уебсайтове в интернет да атакуват устройствата на посетителя (като принтери или рутери) в дома ви или на вашия компютър. Обикновено хората смятат тези устройства за безопасни, тъй като не са директно свързани с интернет и са защитени от рутер.
„За да се предотврати възможността злонамерени уебсайтове да се въртят през мрежовата позиция на агента на потребителя, за да атакуват устройства и услуги, за които основателно се предполага, че са недостъпни от интернет като цяло, поради това, че се намират в локалната интранет мрежа или на машината на потребителя“, описва Google идеята в документ за поддръжка.
Предложената функция „Защита на достъпа до частни мрежи“, която ще бъде в режим „само за предупреждение“ в Chrome 123, извършва проверки, преди публичен уебсайт (наричан „сайт А“) да насочи браузъра към посещение на друг сайт (наричан „сайт Б“) в рамките на частната мрежа на потребителя.
Проверките включват проверка дали заявката идва от защитен контекст и изпращане на предварителна заявка, за да се види дали сайт B (например HTTP сървър, работещ на loopback адрес или уеб панел на рутер) разрешава достъп от публичен уебсайт чрез специфични заявки, наречени CORS-preflight заявки.
За разлика от съществуващите защити за подресурси и работници, тази функция се фокусира конкретно върху заявките за навигация. Нейната основна цел е да предпазва частните мрежи на потребителите от потенциални заплахи.
В пример, предоставен от Google, разработчиците илюстрират HTML iframe на публичен уебсайт, който извършва CSRF атака, която променя DNS конфигурацията на маршрутизатора на посетителя в неговата локална мрежа.
<iframe href=“https://admin:admin@router.local/set_dns?server1=123.123.123.123″>
</iframe>
Съгласно това ново предложение, когато браузърът установи, че публичен сайт се опитва да се свърже с вътрешно устройство, браузърът първо ще изпрати предварителна заявка до устройството.
Ако няма отговор, връзката ще бъде блокирана. Ако обаче вътрешното устройство отговори, то може да съобщи на браузъра дали заявката трябва да бъде разрешена, като използва заглавие „Access-Control-Request-Private-Network“.
Това позволява заявките към устройства от вътрешната мрежа да бъдат автоматично блокирани, освен ако устройството изрично не разреши връзката от публични уебсайтове.
Докато е в етап на предупреждение, дори ако проверките са неуспешни, функцията няма да блокира заявките. Вместо това разработчиците ще виждат предупреждение в конзолата DevTools, което ще им даде време да се адаптират, преди да започне по-строгото прилагане.
Въпреки това Google предупреждава, че дори ако заявката бъде блокирана, автоматичното презареждане от страна на браузъра ще позволи на заявката да премине, тъй като тя ще се разглежда като вътрешна => вътрешна връзка.
„Защитата на достъпа до частна мрежа няма да се прилага в този случай, тъй като функцията е създадена, за да защитава частната мрежа на потребителите от по-публични уебстраници“, предупреждава Google.
За да предотврати това, Google предлага да блокира автоматичното презареждане на дадена страница, ако функцията Private Network Access преди това я е блокирала.
Когато това се случи, уеб браузърът ще покаже съобщение за грешка, в което се посочва, че можете да разрешите заявката да премине, като ръчно презаредите страницата, както е показано по-долу.
Google блокира заявката за презареждане на уеб страница
Източник: Google
Тази страница ще включва ново съобщение за грешка в Google Chrome – „BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS“, което ще ви информира, когато дадена страница не може да се зареди, защото не е преминала проверките за сигурност за достъп до частна мрежа.
Мотивацията зад тази разработка е да се попречи на злонамерени уебсайтове в интернет да използват недостатъци на устройства и сървъри във вътрешните мрежи на потребителите, които се предполагаше, че са защитени от интернет базирани заплахи.
Това включва защита срещу неоторизиран достъп до рутерите и софтуерните интерфейси на потребителите, работещи на локални устройства – нарастващ проблем, тъй като все повече приложения внедряват уеб интерфейси, предполагащи несъществуващи защити.
Според документа за поддръжка Google е започнала да проучва тази идея през 2021 г., за да попречи на външни уебсайтове да правят вредни заявки към ресурси в частната мрежа (localhost или частен IP адрес).
Макар че непосредствената цел е да се намалят рисковете като тези от атаките „SOHO Pharming“ и уязвимостите CSRF (Cross-Site Request Forgery), спецификацията няма за цел да защити HTTPS връзките за локални услуги – необходима стъпка за сигурно интегриране на публични и непублични ресурси, но извън настоящия обхват на спецификацията.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.