谷歌Chrome瀏覽器新功能亮相，可有效抵御黑客攻擊

近日，谷歌正在測試一項新功能，以防止惡意公共網站通過用戶瀏覽器攻擊內部專用網絡上的設備和服務。新版本將能夠檢測并阻止惡意分子通過網絡釣魚等手段試圖控制用戶局域網內其他設備的行為。

簡單來說，就是為了防止家中或電腦上的設備（如打印機或路由器）遭遇互聯網上的不良網站攻擊。

根據 Chrome 平臺狀態網站的信息，此次更新將新增一項安全特性，能夠在網站訪問用戶局域網設備之前進行快速檢查。當網站嘗試連接局域網內其他設備時，Chrome 將會確認連接來源的安全性以及目標設備是否允許此類連接。

阻止對內部網絡的不安全請求

此次擬議的“專用網絡訪問保護”功能在初期階段可能會誤將一些合法的連接判定為惡意行為并加以阻攔，在Chrome 123中處于“僅警告”模式，在公共網站指導瀏覽器訪問用戶專用網絡中的另一個站點之前進行檢查。

檢查的內容包括驗證請求是否來自安全環境，同時發送初步請求，通過稱為 CORS 預檢請求的特定請求，查看網站 B（例如環回地址上運行的 HTTP 服務器或路由器的網絡面板）是否允許從公共網站訪問。

與現有的子資源和 Worker 保護不同，該功能專門針對導航請求。其主要目的是保護用戶的私人網絡免受潛在威脅。

在谷歌提供的一個示例中，開發人員展示了一個公共網站上的 HTML iframe，它可以執行 CSRF 攻擊，改變訪問者本地網絡路由器的 DNS 配置。

<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123"> </iframe>

當瀏覽器檢測到公共網站試圖連接到內部設備時，瀏覽器將首先向該設備發送預檢請求。如果沒有回應，連接將被阻止。如果內部設備做出回應，它就會使用 "Access-Control-Request-Private-Network"（訪問控制請求-私人網絡）標頭告訴瀏覽器是否允許該請求。這樣向內部網絡設備發出的請求就會被自動阻止，除非該設備明確允許從公共網站進行連接。

在警告階段，即使檢查失敗，該功能也不會阻止請求。開發人員會在 DevTools 控制臺中看到一個警告，讓他們有時間在更嚴格的執行開始之前進行調整。

谷歌阻止網頁重載請求 來源：Google 谷歌

該頁面將包含一條"BLOCKEDBYPRIVATE_NETWORK_ACCESS_CHECKS"谷歌 Chrome 瀏覽器錯誤信息，告訴你什么情況下頁面無法加載，因為它沒有通過專用網絡訪問安全檢查。

安全升級背后的理念

這項開發的目的是防止互聯網上的惡意網站利用用戶內部網絡中設備和服務器的漏洞，包括防止對用戶路由器和本地設備上運行的軟件界面進行未經授權的訪問等等。

為防止外部網站向專用網絡（localhost 或專用 IP 地址）內資源發出的惡意請求，谷歌在 2021 年開始已經有開發該功能的想法。

谷歌的目標是降低 "SOHO Pharming "攻擊和 CSRF（跨站請求偽造）漏洞等風險，待相關漏洞修復完畢且開發者完成應用調整之后，谷歌很可能會逐步放開對惡意連接的攔截功能。

參考來源：New Google Chrome feature blocks attacks against home networks (bleepingcomputer.com)