Google Chrome bloccherà gli attacchi contro le reti domestiche

Google sta testando una nuova funzionalità per impedire ai siti web dannosi di passare attraverso il browser di un utente per attaccare dispositivi e servizi su reti private interne. Più semplicemente, Google prevede proteggere i dispositivi di un utente (come stampanti o router). Le persone solitamente considerano questi dispositivi sicuri poiché non sono direttamente connessi a internet e sono protetti da un router. Tuttavia, non è così. Come dichiarato dalla stessa azienda di Mountain View, tale funzionalità impedirà: “ai siti web dannosi di aggirare la posizione di rete dello user-agent per attaccare dispositivi e servizi che si presumevano fossero irraggiungibili da internet in generale, in quanto risiedono sull'intranet locale dell'utente o sul computer dell'utente”.

Chrome: come funziona la nuova protezione del browser

La funzionalità di Chrome si chiama “Protezioni di accesso alla rete privata” e sarà impostata in modalità “solo avviso” in Chrome 123. Questa effettua controlli prima che un sito web pubblico (sito A) indirizzi un browser a visitare un altro sito web (“sito B”) all'interno della rete privata dell'utente. I controlli permettono di verificare se la richiesta proviene da un contesto sicuro.  Grazie a questa nuova funzione, quando il browser rileva che un sito pubblico tenta di connettersi a un dispositivo interno, il browser invierà prima una richiesta di preflight al dispositivo. Se non c'è risposta, la connessione verrà bloccata. Tuttavia, se il dispositivo interno risponde, può indicare al browser se la richiesta deve essere consentita utilizzando un'intestazione “Access-Control-Request-Private-Network”. Ciò blocca automaticamente le richieste ai dispositivi su rete interna, a meno che il dispositivo non consenta esplicitamente la connessione da siti web pubblici.

Google avverte che, anche se una richiesta viene bloccata, un ricaricamento automatico da parte del browser consentirà alla richiesta di andare a buon fine. Ciò avviene poiché la richiesta viene vista come una connessione interna. Per evitare ciò, l’azienda propone di bloccare il ricaricamento automatico di una pagina se la funzione “Accesso alla rete privata” lo aveva precedentemente bloccato. Quando ciò accade, il browser web visualizzerà un messaggio di errore che informa che è possibile consentire l'esecuzione della richiesta ricaricando manualmente la pagina. Lo scopo di Chrome è impedire che siti web dannosi su internet sfruttino difetti su dispositivi e server nelle reti interne degli utenti. Ciò include la protezione contro l'accesso non autorizzato ai router degli utenti e alle interfacce software in esecuzione sui dispositivi locali. Si tratta di una preoccupazione crescente poiché sempre più applicazioni distribuiscono interfacce web presupponendo protezioni inesistenti.