Fremveksten av webteknologier åpnet for nye muligheter på Internett. Nettlesere er blitt kraftigere etter hvert som nye API-er landet og støtte for visse funksjoner ble introdusert.
Et nytt angrep, kalt MarioNET av forskerne som oppdaget det, fremhever at API-er også kan misbrukes hvis det ikke er skikkelige sikkerhetstiltak (som er tilfelle akkurat nå).
Angrepet er avhengig av eksisterende HTML5 API-er som alle moderne nettlesere støtter. Det krever ikke installasjon av programvare eller brukerinteraksjon, og vedvarer selv etter at brukeren forlater websiden angrepet oppstod på.
Angriperen kan misbruke ressursene på datamaskinen for alle slags aktiviteter, inkludert DDOS-angrep, kryptogruvoperasjoner eller passordsprekker.
Oppdatering : Du finner en kritisk stemme som argumenterer mot scenariet beskrevet i forskningsoppgaven her. Hovedpoenget med kritikk er at angrepsmetoden er avhengig av en funksjon som kalles PeriodicSync, og at den ikke er en del av noen spesifikasjon på dette punktet. Slutt
MarioNET bruker Service Workers, skript som kjøres atskilt fra besøkte websider og i bakgrunnen, i angrepet. Hovedideen bak Service Workers er å flytte visse beregninger til en egen tråd, slik at den ikke blokkerer eller bremser appen eller websiden brukeren samhandler med.
Livssyklusen til servicearbeidere er helt uavhengig av siden de ble opprettet på. Tjenestearbeidere har ikke tilgang til DOM (Document Object Model) på nettsidens og morsiden variabler og funksjoner.
Bruken av Service Workers isolerer systemet fra det opprinnelige nettstedet, gir vedvarende kontroll til angriperen og gjør det vanskelig for brukerne å oppdage hva som skjer.
Spesielt oppfyller systemet vårt tre viktige mål:
(i) isolasjon fra det besøkte nettstedet, og tillater finkornet kontroll over de utnyttede ressursene; (ii) utholdenhet ved å fortsette driften uavbrutt på bakgrunnen selv etter å ha lukket overordnet fane; og (iii) unnvikelse, og unngår deteksjon med nettleserutvidelser som prøver å overvåke nettsidens aktivitet eller utgående kommunikasjon.
MarioNET registrerer en servicemedarbeider når en bruker besøker en websideangrep kan stamme fra. Mulighetene for å spre angrepet inkluderer å lage ondsinnede nettsteder, hacking nettsteder eller bruke annonser.
Nettlesere gir lite informasjon til brukere om servicearbeidere; nettopp nettlesere ikke fremhever etableringen av nye servicemedarbeidere på nettsteder for brukere. Det er ingen varsler, ingen ledetekster og ikke engang et alternativ for å vise en ledetekst for å be om brukertillatelse når servicemedarbeidere opprettes.
Den eneste forespørselen som avdekker eksistensen av tjenestearbeideren, er den første GET-forespørselen på tidspunktet for brukerens første nettstedbesøk, når tjenestearbeideren først blir registrert. Selv om det under den GET-forespørselen en overvåkningsutvidelse kan observere innholdet i tjenestearbeideren, vil den fortsatt ikke observere noen mistenkelige koder - koden som skal utføre de ondsinnede oppgavene, blir levert til tjeneren først etter den første kommunikasjonen med dukkedyren, og denne kommunikasjonen er skjult for nettleserutvidelser
Det som gjør MarioNET spesielt urovekkende, er at den fortsetter å løpe i bakgrunnen etter at brukeren lukker nettstedet angrepet stammer fra. Kontrollen avsluttes når nettleseren er lukket; forskerne fant en måte å overvinne dette også, men det krever brukerinteraksjon da det bruker Web Push API for å gjøre det.
Beskyttelse
De fleste moderne nettlesere inkluderer alternativer for å vise eksisterende servicearbeidere. Firefox-brukere kan laste om: servicearbeidere eller om: feilsøke # arbeidere og Chrome-brukere kan laste inn chrome: // serviceworker-internals / for å gjøre det.
Du kan avregistrere enhver servicearbeider ved å bruke funksjonalitet som tilbys på disse sidene. Firefox-brukere kan deaktivere Service Workers helt videre.
Merk at dette kan påvirke funksjonaliteten på nettsteder som bruker den til legitime formål. Du må angi preferansen dom.serviceWorkers.enabled til falsk på om: config.
Noen nettleserutvidelser, for eksempel Service Worker Detector for Chrome og Firefox, varsler brukere når en webside registrerer en Service Worker.
Nå du : Bør nettleserutviklere implementere ytterligere sikkerhetstiltak? (via ZDNet)
