Webes USB-vezérlőt mutattak be a Google kutatói
Webappon keresztül konfigurálható és vezérelhető USB-s hardvereket vetít előre két Google-mérnök kezdeményezése. Az egyelőre gyerekcipőben járó WebUSB API a natív kódot váltaná le.
Megosztó kezdeményezéssel állt elő a Google két mérnöke: Reilly Grant és Ken Rockot egy olyan API-t vázolt fel, amellyel a számítógépekhez USB-n csatlakoztatott eszközöket lehetőség nyílik webes felületekről konfigurálni, illetve vezérelni.
A WebUSB API névre hallgató projekttel annak fejlesztői nem elsősorban a billentyűzetekhez és egerekhez hasonló, hagyományos hardvereket céloznák meg, sokkal inkább a későbbiekben érkező, még elterjedés előtt álló készülékeket, amelyekhez még nem készültek széles körben használt szabványok. Az API fejlesztői szerint ilyenek lehetnek például a 3D nyomtatók, amelyekhez a meghajtóprogramok telepítését és az eszköz kalibrálását a WebUSB segítségével teljes mértékben átvehetné egy a gyártó által kiadott webapp, nagyban megkönnyítve a felhasználó dolgát.
A natív kódot és SDK-kat keresztplatformos hardvertámogatásra és webes librarykra cserélő megoldás egyelőre gyerekcipőben jár, ugyanakkor Twitteren már most felborzolta a kedélyeket, sokan attól tartanak, az API új támadási felületet ad a PC-ken, illetéktelen behatolók számára. Az API-val mindenesetre védelem is érkezik, az a fejlesztőpáros szerint korlátozza majd, egy eszköz milyen doménekhez férhet hozzá, illetve honnan tölthet le frissítéseket.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A félelmek mindenesetre nem megalapozatlanok, egy a The Register által nemrég közölt kutatás szerint ugyanis az emberek majdnem fele, az utcán talált, ismeretlen pendrive-okat is csatlakoztatja számítógépéhez. A hasonló, félrevezetésre alapuló taktikák (social engineering) sajnos kifejezetten sikeresnek mondhatók - lényegében egy fizikai trójai támadásról van szó.
A szóban forgó kísérlet egyébként szintén a Google kutatóihoz köthető, akik a michigani és illinois-i egyetem szakértőivel karöltve, összesen 297 USB meghajtót szórtak szét utóbbi egyik campusán. Az eredmények szerint az eszközök mintegy 48 százalékát vették fel és csatlakoztatták PC-ikhez a kíváncsi áldozatok, akik a meghajtón lévő, távoli szerverre hivatkozó HTML fájlokat megnyitották, lényegében jeleztek a kutatók felé, hogy megtalálták a pendrive-ot - illetve hozzávetőleges földrajzi pozíciójuk is kiderült. Mindössze a megtalálók 16 százaléka ellenőrizte valamilyen biztonsági szoftverrel a tárolók tartalmát annak megnyitása előtt.
A fentiek fényében egy, a WebUSB API-hoz hasonló megoldás, bár kétségtelenül kényelmes, biztonsági szempontból nagyon komoly odafigyelést igényel a fejlesztők oldalán. Akinek felkeltette érdeklődését a kezdeményezés, érdemes felkeresnie annak GitHub oldalát.