Fremgangen i webteknologier åbnede nye muligheder på Internettet. Browsere er blevet mere magtfulde, efterhånden som nye API'er landede, og support til visse funktioner blev introduceret.
Et nyt angreb, kaldet MarioNET af forskerne, der opdagede det, fremhæver, at API'er også kan misbruges, hvis der ikke findes nogen passende sikkerhedsforanstaltninger (hvilket er tilfældet lige nu).
Angrebet er afhængig af eksisterende HTML5 API'er, som alle moderne webbrowsere understøtter. Det kræver ikke installation af software eller brugerinteraktion, og fortsætter, selv efter at brugeren forlader den webside, hvor angrebet stammer fra.
Angriberen kan misbruge computerens ressourcer til alle former for aktiviteter, herunder DDOS-angreb, krypto-mining-operationer eller adgangskodcracking.
Opdatering : Du finder en kritisk stemme, der argumenterer imod det scenario, der er beskrevet i forskningsartiklen her. Hovedpointen med kritik er, at angrebsmetoden er afhængig af en funktion kaldet PeriodicSync, og at den ikke er en del af nogen specifikation på dette tidspunkt. Ende
MarioNET bruger servicearbejdere, scripts, der kører adskilt fra besøgte websider og i baggrunden, i angrebet. Hovedideen bag servicearbejdere er at flytte visse beregninger til en separat tråd, så det ikke blokerer eller bremser appen eller websiden, som brugeren interagerer med.
Servicearbejderes livscyklus er helt uafhængig af den side, de blev oprettet på. Servicearbejdere har ikke adgang til DOM (Document Object Model) på websiden og forældresidevariabler og -funktioner.
Brugen af servicemedarbejdere isolerer systemet fra det oprindelige websted, giver vedvarende kontrol til angriberen og gør det vanskeligt for brugerne at opdage, hvad der foregår.
Især opfylder vores system tre vigtige mål:
(i) isolering fra det besøgte websted, hvilket tillader finkornet kontrol over de anvendte ressourcer; (ii) vedholdenhed ved at fortsætte sin operation uafbrudt på baggrunden, selv efter lukning af overordnet fane; og (iii) undgåelse, undgå detektion ved hjælp af browserudvidelser, der prøver at overvåge websidens aktivitet eller udgående kommunikation.
MarioNET registrerer en servicemedarbejder, når en bruger besøger en webside-angreb kan stamme fra. Mulighederne for at sprede angrebet inkluderer oprettelse af ondsindede websteder, hackingwebsteder eller brug af reklamer.
Browsere leverer kun lidt information til brugere om servicearbejdere; Faktisk fremhæver browsere ikke oprettelsen af nye servicemedarbejdere på websteder for brugerne. Der er ingen advarsler, ingen prompter og ikke engang en mulighed for at vise en promp for at bede om brugertilladelse, når servicemedarbejdere oprettes.
Den eneste anmodning, der afslører eksistensen af servicemedarbejderen, er den første GET-anmodning på tidspunktet for brugerens første webstedbesøg, når servicemedarbejderen oprindeligt registreres. Selvom en overvågningsudvidelse under denne GET-anmodning kan observere indholdet af servicemedarbejderen, vil den stadig ikke observere nogen mistænkelig kode - koden, der udfører de ondsindede opgaver, leveres først til tjeneren efter den første kommunikation med dukkemanden, og denne kommunikation er skjult for browserudvidelser
Det, der gør MarioNET specielt bekymrende, er, at det fortsætter med at køre i baggrunden, efter at brugeren lukker det websted, som angrebet stammer fra. Kontrollen slutter, når webbrowseren er lukket; forskerne fandt også en måde at overvinde dette på, men det kræver brugerinteraktion, da det bruger Web Push API til at gøre det.
Beskyttelse
De fleste moderne browsere inkluderer muligheder for at vise eksisterende servicemedarbejdere. Firefox-brugere kan indlæse omkring: servicearbejdere eller om: fejlsøgning # arbejdere og Chrome-brugere kan indlæse chrome: // serviceworker-internals / for at gøre det.
Du kan afregistrere enhver servicemedarbejder ved hjælp af funktionalitet, der leveres på disse sider. Firefox-brugere kan deaktivere servicemedarbejdere endvidere yderligere.
Bemærk, at dette kan påvirke funktionaliteten på websteder, der bruger det til legitime formål. Du skal indstille præference dom.serviceWorkers.enabled til false på om: config.
Nogle browserudvidelser, f.eks. Service Worker Detector til Chrome og Firefox, giver brugerne besked, når en webside registrerer en Service Worker.
Nu dig : Skal browserudviklere implementere yderligere sikkerhedsforanstaltninger? (via ZDNet)
