Google, tarayıcılar kullanılarak ağ cihazlarına çeşitli saldırılar uygulanmasının önüne geçebilmek adına uç nokta cihazlarının yerel adreslerine web sitelerinin erişmesini yeni Chrome sürümüyle beraber engelleyeceğini duyurdu.
Yeni uygulanan PNA (Private Network Access) isimli W3C spesifikasyonu sayesinde önümüzdeki zaman diliminde yayınlanması planlanan Chrome 98 ve Chrome 101 sürümlerinde web sitelerinin iç ağlara ve özel network yapılarında bulunan adreslere erişmesi engellenecek. Chrome 101 sürümünden itibaren internet üzerindeki web siteleri dahili ağda yer alan kaynaklara bağlanabilmek için kullanıcıdan PNA izni isteyecek. Bu izin sürecinin iletimi içinse CORS istek ve yanıtları kullanılacak.
Tamamen güvenlik amaçlı yapılan bu değişiklik, CSRF (Cross-Site Request Forgery) gibi güvenlik açıkları kullanılarak ağ cihazlarının ele geçirilmesini engellemeye yönelik. Zira en basit haliyle örnek verecek olursak önceleri hedef modemde bir CSRF zafiyeti bulan veya varsayılan parola bilgilerini bilen saldırgan, ilgili CSRF’yi tetikleyecek kodu kendi web sitesine yerleştirerek ziyaretçilerin modemindeki ayarları kendi istediği şekilde değiştirebiliyordu.
Birçok ağ cihazının yönetim panelinde kişisel tecrübelerime dayanarak CSRF açığı var olduğunu, bu açık olmasa bile birçok kullanıcının cihaz panelini halen varsayılan parolalarla kullandığını söyleyebilirim. Bu da haliyle büyük bir güvenlik riski doğuruyordu. Artık ilerideki süreçte web sitelerinin yerel adreslere erişebilmesi için izin gerekeceğinden saldırganların ekmeğine adeta taş koyuldu diyebiliriz.
