Para que combater sites maliciosos, o Google diz que um novo recurso do Chrome bloqueia ataques contra redes privadas.
O Google está testando um novo recurso para evitar que sites públicos maliciosos passem pelo navegador do usuário para atacar dispositivos e serviços em redes privadas internas.
Novo recurso do Chrome bloqueia ataques contra redes privadas
Sim. O Novo recurso do Chrome bloqueia ataques contra redes privadas. Mais simplesmente, o Google planeja evitar que sites ruins na Internet ataquem os dispositivos de um visitante (como impressoras ou roteadores) em sua casa ou computador.
As pessoas geralmente consideram esses dispositivos seguros porque não estão diretamente conectados à Internet e são protegidos por um roteador.
“Para evitar que sites maliciosos passem pela posição de rede do agente do usuário para atacar dispositivos e serviços que razoavelmente presumiam que eram inacessíveis da Internet em geral, em virtude de residirem na intranet local do usuário ou na máquina do usuário”, o Google descreveu a ideia em um documento de suporte.
O recurso proposto “Proteções de acesso à rede privada”, que estará no modo “somente aviso” no Chrome 123, realiza verificações antes que um site público (referido como “site A”) direcione um navegador para visitar outro site (referido como como “site B”) dentro da rede privada do usuário.
As verificações incluem verificar se a solicitação vem de um contexto seguro e enviar uma solicitação preliminar para verificar se o site B (por exemplo, servidor HTTP executado em endereço de loopback ou painel da web do roteador) permite acesso de um site público por meio de solicitações específicas chamadas solicitações de pré-voo CORS.
Ao contrário das proteções existentes para sub-recursos e trabalhadores, esta funcionalidade concentra-se especificamente em pedidos de navegação. Seu objetivo principal é proteger as redes privadas dos usuários contra ameaças potenciais.
Em um exemplo fornecido pelo Google, os desenvolvedores ilustram um iframe HTML em um site público que executa um ataque CSRF que altera a configuração DNS do roteador de um visitante em sua rede local.
De acordo com esta nova proposta, quando o navegador detecta que um site público tenta se conectar a um dispositivo interno, o navegador enviará primeiro uma solicitação de comprovação ao dispositivo.
Se não houver resposta, a conexão será bloqueada. No entanto, se o dispositivo interno responder, ele poderá informar ao navegador se a solicitação deve ser permitida usando um cabeçalho ‘Access-Control-Request-Private-Network‘.
Isto permite que solicitações para dispositivos em uma rede interna sejam bloqueadas automaticamente, a menos que o dispositivo permita explicitamente a conexão de sites públicos.
Enquanto estiver na fase de aviso, mesmo que as verificações falhem, o recurso não bloqueará as solicitações. Em vez disso, os desenvolvedores verão um aviso no console do DevTools, dando-lhes tempo para se ajustarem antes do início de uma aplicação mais rigorosa.
Porém, o Google alerta que mesmo que uma solicitação seja bloqueada, um recarregamento automático do navegador permitirá que a solicitação seja processada, pois seria vista como uma conexão interna => interna.
“As proteções de acesso à rede privada não se aplicarão neste caso, uma vez que o recurso foi projetado para proteger a rede privada dos usuários de páginas da web mais públicas”, alerta o Google.
Para evitar isso, o Google propõe bloquear o recarregamento automático de uma página se o recurso Acesso à rede privada a bloqueou anteriormente.
Quando isso acontecer, o navegador exibirá uma mensagem de erro informando que você pode permitir a solicitação recarregando manualmente a página, conforme mostrado abaixo.
Esta página incluiria uma nova mensagem de erro do Google Chrome, “BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS”, para informar quando uma página não pode ser carregada porque não passou nas verificações de segurança de acesso à rede privada.
A motivação por trás deste desenvolvimento é evitar que sites maliciosos na Internet explorem falhas em dispositivos e servidores nas redes internas dos usuários, que foram considerados protegidos contra ameaças baseadas na Internet.
Isso inclui a proteção contra acesso não autorizado aos roteadores dos usuários e às interfaces de software executadas em dispositivos locais – uma preocupação crescente à medida que mais aplicativos implantam interfaces da Web assumindo proteções inexistentes.
De acordo com um documento de suporte, o Google começou a explorar essa ideia em 2021 para evitar que sites externos fizessem solicitações prejudiciais a recursos dentro da rede privada (localhost ou endereço IP privado).
Embora o objetivo imediato seja mitigar riscos como os de ataques “SOHO Pharming” e vulnerabilidades CSRF (Cross-Site Request Forgery), a especificação não visa proteger conexões HTTPS para serviços locais – um passo necessário para integrar serviços públicos e não públicos. recursos de forma segura, mas além do escopo atual da especificação.