Google podporuje dva nové HTML API, ktoré môžu ešte viac ohroziť bezpečnosť na webe.
Bezpečnostné riziko, ktoré nové API predstavujú, je zdieľané s IoT, keďže sa jedná o priame pripájanie zariadení na web.
Je pochopiteľné, že Google chce všetko centralizovať okolo webu. Čím viac zariadení a dostane do svojej „záhradky“, tým viac získa údajov, ktoré potom môže priamo či nepriamo speňažiť. Nové API patria k iniciatíve Physical Web, ktorá má za cieľ nahradiť natívne aplikácie pre kontrolu IoT webovými aplikáciami bežiacimi v prehliadači.
Web Bluetooth je API, ktoré umožňuje webstránkam priamo komunikovať s okolitými bluetooth zariadeniami. Pochopiteľne, sú s tým spojené bezpečnostné riziká, ktoré v skratke zhrnul Jeffrey Yasskin, softvérový inžinier z Chrome tímu:
- nekompetentný vývojár, ktorý chce s pripojeným zariadením robiť trápne veci a neberie ohľad na potenciálne riziká ohľadom súkromia používateľov
- zákerný vývojár, ktorý chce zneužiť používateľov a ich údaje pomocou okolitých bluetooth zariadení
- zákerný výrobca hardvéru, ktorý chce zneužiť používateľov a alebo stránky pripájajúce sa k jeho zariadeniu
- zle napísaný firmvér zariadenia, ktorý nemá za cieľ nikoho poškodiť, ale je zraniteľný čo sa týka zákerných pripojení
- zle napísaný kernel, ktorý je zraniteľný malvérom nainštalovaným na používateľovom PC, alebo zákernými pripojeniami
Jednoducho povedané, aj keby Chrome tím robil čo môže, nové API nepochybne rozšíri počet možností, ktorými môžu byť zariadenia pripojené na web napadnuté. WebUSB je ešte väčšie potenciálne riziko, keďže zariadenia sú priamo fyzicky pripojené k počítaču.
V časoch, keď už vieme, akú bezpečnostnú hrozbu IoT predstavuje, a máme jasné údaje o náraste útokov cez IoT, je nesmierne dôležité klásť dôraz na bezpečnosť. To platí nielen pre vývojárov, ale aj pre používateľov. Možno bude lepšie nepripájať hneď všetko cez nové API priamo na web. Napriek tomu, že sú už súčasťou prehliadača Chrome.
Zdroj: Tom’s Hardware, Medium