Търсене
Close this search box.

Нова функция на Google Chrome блокира атаките срещу домашни мрежи

Google тества нова функция, която предотвратява възможността злонамерени публични уебсайтове да се прехвърлят през браузъра на потребителя, за да атакуват устройства и услуги във вътрешни частни мрежи.

Казано по-просто, Google планира да попречи на лошите уебсайтове в интернет да атакуват устройствата на посетителя (като принтери или рутери) в дома ви или на вашия компютър. Обикновено хората смятат тези устройства за безопасни, тъй като не са директно свързани с интернет и са защитени от рутер.

„За да се предотврати възможността злонамерени уебсайтове да се въртят през мрежовата позиция на агента на потребителя, за да атакуват устройства и услуги, за които основателно се предполага, че са недостъпни от интернет като цяло, поради това, че се намират в локалната интранет мрежа или на машината на потребителя“, описва Google идеята в документ за поддръжка.

Блокиране на опасни заявки към вътрешни мрежи

Предложената функция „Защита на достъпа до частни мрежи“, която ще бъде в режим „само за предупреждение“ в Chrome 123, извършва проверки, преди публичен уебсайт (наричан „сайт А“) да насочи браузъра към посещение на друг сайт (наричан „сайт Б“) в рамките на частната мрежа на потребителя.

Проверките включват проверка дали заявката идва от защитен контекст и изпращане на предварителна заявка, за да се види дали сайт B (например HTTP сървър, работещ на loopback адрес или уеб панел на рутер) разрешава достъп от публичен уебсайт чрез специфични заявки, наречени CORS-preflight заявки.

За разлика от съществуващите защити за подресурси и работници, тази функция се фокусира конкретно върху заявките за навигация. Нейната основна цел е да предпазва частните мрежи на потребителите от потенциални заплахи.

В пример, предоставен от Google, разработчиците илюстрират HTML iframe на публичен уебсайт, който извършва CSRF атака, която променя DNS конфигурацията на маршрутизатора на посетителя в неговата локална мрежа.

<iframe href=“https://admin:admin@router.local/set_dns?server1=123.123.123.123″>
</iframe>

Съгласно това ново предложение, когато браузърът установи, че публичен сайт се опитва да се свърже с вътрешно устройство, браузърът първо ще изпрати предварителна заявка до устройството.

Ако няма отговор, връзката ще бъде блокирана. Ако обаче вътрешното устройство отговори, то може да съобщи на браузъра дали заявката трябва да бъде разрешена, като използва заглавие „Access-Control-Request-Private-Network“.

Това позволява заявките към устройства от вътрешната мрежа да бъдат автоматично блокирани, освен ако устройството изрично не разреши връзката от публични уебсайтове.

Докато е в етап на предупреждение, дори ако проверките са неуспешни, функцията няма да блокира заявките. Вместо това разработчиците ще виждат предупреждение в конзолата DevTools, което ще им даде време да се адаптират, преди да започне по-строгото прилагане.

Въпреки това Google предупреждава, че дори ако заявката бъде блокирана, автоматичното презареждане от страна на браузъра ще позволи на заявката да премине, тъй като тя ще се разглежда като вътрешна => вътрешна връзка.

„Защитата на достъпа до частна мрежа няма да се прилага в този случай, тъй като функцията е създадена, за да защитава частната мрежа на потребителите от по-публични уебстраници“, предупреждава Google.

За да предотврати това, Google предлага да блокира автоматичното презареждане на дадена страница, ако функцията Private Network Access преди това я е блокирала.

Когато това се случи, уеб браузърът ще покаже съобщение за грешка, в което се посочва, че можете да разрешите заявката да премине, като ръчно презаредите страницата, както е показано по-долу.

Google blocks web page reload request
Google блокира заявката за презареждане на уеб страница
Източник: Google

Тази страница ще включва ново съобщение за грешка в Google Chrome – „BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS“, което ще ви информира, когато дадена страница не може да се зареди, защото не е преминала проверките за сигурност за достъп до частна мрежа.

Идеята на обновяването на сигурността

Мотивацията зад тази разработка е да се попречи на злонамерени уебсайтове в интернет да използват недостатъци на устройства и сървъри във вътрешните мрежи на потребителите, които се предполагаше, че са защитени от интернет базирани заплахи.

Това включва защита срещу неоторизиран достъп до рутерите и софтуерните интерфейси на потребителите, работещи на локални устройства – нарастващ проблем, тъй като все повече приложения внедряват уеб интерфейси, предполагащи несъществуващи защити.

Според документа за поддръжка Google е започнала да проучва тази идея през 2021 г., за да попречи на външни уебсайтове да правят вредни заявки към ресурси в частната мрежа (localhost или частен IP адрес).

Макар че непосредствената цел е да се намалят рисковете като тези от атаките „SOHO Pharming“ и уязвимостите CSRF (Cross-Site Request Forgery), спецификацията няма за цел да защити HTTPS връзките за локални услуги – необходима стъпка за сигурно интегриране на публични и непублични ресурси, но извън настоящия обхват на спецификацията.

 

Източник: e-security.bg

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
10/04/2024

Chrome Enterprise дава Prem...

Google обяви нова версия на своя...
09/04/2024

Google Chrome добавя V8 San...

Google обяви поддръжка на т.нар. пясъчна...
03/04/2024

Microsoft предупреждава, че...

Microsoft потвърди, че някои потребители на...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!