Mozilla は Firefox に Web Serial API のサポートを追加した。これまで Chrome / Edge など Chromium 系でしか動かなかった「ウェブページが USB シリアル経由でマイコンや 3D プリンタを直接操作する」API が、ようやく Firefox でも有効になる。
Mozilla は長らく Web Serial / WebUSB / WebHID という「ブラウザがハードウェアと話す」系 API に慎重で、プライバシー懸念から実装を見送ってきた。今回の方針転換は、ブラウザ間の機能差を放置すれば結局 Chromium 一強が固定化するという現実への譲歩に見える。
何ができるようになるか #
ウェブページ上で navigator.serial.requestPort() を呼ぶと、接続中のシリアルデバイス一覧から 1 つをユーザが選ぶダイアログが出る。承認すれば読み書き可能になる。狙う先は Arduino や Raspberry Pi Pico などのマイコン、3D プリンタ、フラッシュ書き込み治具、シリアル接続のセンサー類だ。Arduino 公式 Web エディタや ESP32 を書き込む Web Installer の体験が Firefox でも成立する。ローカルにツールチェーンを入れずブラウザで完結するのは、教育用途や IoT セットアップで確かに強い。
攻撃面としての Web Serial #
ハッカー視点で気になるのは、ブラウザに新しい I/O 経路が生えるたび攻撃面が増えるという当たり前の事実だ。悪意あるサイトが Web Serial の許諾ダイアログを出し、ユーザが何気なく「許可」を押せば、接続中の開発ボードや産業機器を直接叩ける。マイコンに任意のファームウェアを書き込む状況も成立し得る。
UI 騙しで「許可」を押させる手口は WebUSB のときから指摘されてきた論点で、Mozilla は明示的なユーザジェスチャーと HTTPS 必須で対処するが、社会工学への耐性は結局ユーザ次第だ。WebHID / WebUSB / Web Serial の三兄弟が揃えば、ブラウザ起点のハードウェア攻撃面はじわじわ広がる。
研究者には「ブラウザ=ハードウェア卓」 #
一方、防御側・研究者には利点も大きい。ファームウェア解析、UART でのブートメッセージ取得、ロジックアナライザ的な役割、CTF の組み込み系問題のセットアップ — こうした作業を OS 非依存・インストール不要でブラウザに集約できる。「この URL を開いて」で授業や検証が始められるのは教材としても優秀だ。
便利さと攻撃面はトレードオフだが、ハードウェアハッキングをブラウザに乗せる潮流はもう止まらない。どのサイトに何を許可しているか、ユーザが意識する習慣をいま付け直すタイミングだ。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。