Google Chrome: novo recurso bloqueia ataques contra redes domésticas

Imagem com a logomarca do Google Chrome

O Google está testando um novo recurso no Chrome que bloqueia ataques contra redes domésticas. Esse recurso é uma maneira de evitar que sites públicos maliciosos passem pelo navegador do usuário para atacar dispositivos e serviços em redes privadas internas.

Novo recurso do Google Chrome bloqueia ataques contra redes

O Google planeja evitar que sites ruins na Internet ataquem os dispositivos de um visitante (como impressoras ou roteadores) em sua casa ou computador. As pessoas geralmente consideram esses dispositivos seguros porque não estão diretamente conectados à Internet e são protegidos por um roteador.

Para evitar que sites maliciosos passem pela posição de rede do agente do usuário para atacar dispositivos e serviços que razoavelmente presumiam que eram inacessíveis da Internet em geral, em virtude de residirem na intranet local do usuário ou na máquina do usuário.

Google

Bloqueie solicitações inseguras para redes internas

O recurso proposto “Proteções de acesso à rede privada”, que estará no modo “somente aviso” no Chrome 123, realiza verificações antes que um site público (referido como “site A”) direcione um navegador para visitar outro site (referido como como “site B”) dentro da rede privada do usuário.

As verificações incluem verificar se a solicitação vem de um contexto seguro e enviar uma solicitação preliminar para verificar se o site B (por exemplo, servidor HTTP rodando no endereço de loopback ou painel web do roteador) permite acesso de um site público através de solicitações específicas chamadas solicitações de pré-voo CORS. Ao contrário das proteções existentes para sub-recursos e trabalhadores, esta funcionalidade concentra-se especificamente em pedidos de navegação. Seu objetivo principal é proteger as redes privadas dos usuários contra ameaças potenciais.

Em um exemplo fornecido pelo Google, os desenvolvedores ilustram um iframe HTML em um site público que executa um ataque CSRF que altera a configuração DNS do roteador de um visitante em sua rede local. De acordo com esta nova proposta, quando o navegador detecta que um site público tenta se conectar a um dispositivo interno, o navegador enviará primeiro uma solicitação de comprovação ao dispositivo.

Se não houver resposta, a conexão será bloqueada. No entanto, se o dispositivo interno responder, ele poderá informar ao navegador se a solicitação deve ser permitida usando um cabeçalho “Access-Control-Request-Private-Network”. Isto permite que solicitações para dispositivos em uma rede interna sejam bloqueadas automaticamente, a menos que o dispositivo permita explicitamente a conexão de sites públicos.

Enquanto estiver na fase de aviso, mesmo que as verificações falhem, o recurso não bloqueará as solicitações. Em vez disso, os desenvolvedores verão um aviso no console do DevTools, dando-lhes tempo para se ajustarem antes do início de uma aplicação mais rigorosa. Porém, o Google alerta que mesmo que uma solicitação seja bloqueada, um recarregamento automático do navegador permitirá que a solicitação seja processada, pois seria vista como uma conexão interna => interna.

Para evitar isso, o Google propõe bloquear o recarregamento automático de uma página se o recurso Acesso à rede privada a bloqueou anteriormente. Quando isso acontecer, o navegador exibirá uma mensagem de erro informando que você pode permitir a solicitação recarregando manualmente a página, conforme mostrado abaixo.

Imagem: Reprodução | Bleeping Computer

Esta página incluiria uma nova mensagem de erro do Google Chrome, “BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS”, para informar quando uma página não pode ser carregada porque não passou nas verificações de segurança de acesso à rede privada.

Acesse a versão completa
Sair da versão mobile