Google sta testando una nuova funzionalità per impedire ai siti Web pubblici dannosi di passare attraverso il browser di un utente per attaccare dispositivi e servizi su reti private interne. Più semplicemente, Google prevede di impedire che le pagine malevole su Internet attacchino i dispositivi di un visitatore (come stampanti o router).
La funzionalità proposta “Protezioni di accesso alla rete privata“, che sarà in modalità “solo avviso” in Chrome 123, effettua controlli prima che un sito Web pubblico indirizzi un browser a visitare un altro sito all’interno della rete privata dell’utente. I controlli includono la verifica se la richiesta proviene da un contesto sicuro e l’invio di una richiesta preliminare per vedere se il sito di destinazione (es. server HTTP in esecuzione su indirizzo di loopback o pannello web del router) consente l’accesso da un sito web pubblico attraverso richieste specifiche chiamate richieste CORS-preflight. Il suo scopo principale è proteggere le reti private degli utenti da potenziali minacce.
In un esempio fornito da Google, gli sviluppatori illustrano un iframe HTML su un sito web pubblico che esegue un attacco CSRF che modifica la configurazione DNS del router di un visitatore sulla sua rete locale sfruttando il seguente codice:
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">L’obiettivo di questa nuova funzionalità di Google Chrome è bloccare proprio queste richieste di connessione verso una rete locale di un utente, impedendo che qualche malintenzionato possa accedere al PC della vittima e controllare eventuali dispositivi connessi.
Tuttavia, Google avverte che anche se una richiesta viene bloccata, un ricaricamento automatico da parte del browser consentirà alla richiesta di andare a buon fine, poiché verrebbe vista come una connessione interna => interna. Per evitare ciò, Google propone di bloccare il ricaricamento automatico di una pagina se la funzione lo aveva precedentemente bloccato. Quando ciò accade, il browser Web visualizzerà un messaggio di errore BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS che informa che è possibile consentire l’esecuzione della richiesta ricaricando manualmente la pagina, come mostrato di seguito. L’utente può quindi decidere di eseguire manualmente la richiesta a suo rischio e pericolo, un po’ come succede già ora con gli avvisi di connessione verso una pagina che non dispone del protocollo HTTPS ma HTTP.
Sebbene l’obiettivo immediato sia mitigare rischi come quelli derivanti dagli attacchi SOHO Pharming e dalle vulnerabilità CSRF (Cross-Site Request Forgery), la specifica non mira a proteggere le connessioni HTTPS per i servizi locali, un passo necessario per integrare servizi pubblici e non pubblici.