A webes technológiák megjelenése új lehetőségeket nyitott meg az interneten. A böngészők egyre erősebbé váltak, amikor új API-k érkeztek, és bevezették bizonyos funkciók támogatását.
Egy új támadás, amelyet a felfedező kutatók a MarioNET néven hívtak fel, rámutat arra, hogy az API-kkal visszaélhetnek is, ha nincs megfelelő védintézkedés (ez a helyzet jelenleg).
A támadás meglévő HTML5 API-kra támaszkodik, amelyeket minden modern böngésző támogat. Nem igényel szoftver telepítését vagy felhasználói interakciót, és továbbra is fennáll, még akkor is, ha a felhasználó elhagyja a weboldalt, ahol a támadás származik.
A támadó bármilyen tevékenységhez felhasználhatja a számítógép erőforrásait, ideértve a DDOS-támadásokat, a kripto-bányászati műveleteket vagy a jelszó-feltöréseket.
Frissítés : Megtalál egy kritikus hangot, amely vitatja a kutatási cikkben ismertetett forgatókönyvet. A kritika fõ pontja az, hogy a támadási módszer a PeriodicSync nevû funkcióra támaszkodik, és hogy ezen a ponton nem része semmilyen specifikációnak. vég
A MarioNET a Service Workers szkripteket használja, amelyek a meglátogatott weboldalaktól elkülönítve futnak és a háttérben a támadásban. A szolgáltató munkatársak fő gondolata az, hogy bizonyos számításokat külön szálra helyezzenek úgy, hogy azok ne akadályozzák vagy lelassítsák az alkalmazást vagy a weboldalt, amellyel a felhasználó kapcsolatba lép.
A szervizmunkások életciklusa teljesen független attól az oldalról, amelyen jöttek létre. A szolgáltató dolgozók nem férnek hozzá a weboldal DOM-jához (Document Object Model), valamint a szülő oldal változókhoz és funkciókhoz.
A Service Workers használata elkülöníti a rendszert az eredeti webhelytől, tartósan irányítja a támadót, és megnehezíti a felhasználók számára, hogy észrevegyék, mi folyik.
Rendszerünk különösen három fontos célt teljesít:
i. elszigeteltség a meglátogatott webhelytől, lehetővé téve a felhasznált erőforrások finom részletességű ellenőrzését; ii. kitartás, folyamatosan folytatva a háttérben a szülõlap bezárása után is; és (iii) kitérő képesség, elkerülve az észlelést olyan böngészőbővítmények segítségével, amelyek megkísérlik figyelemmel kísérni a weboldal tevékenységét vagy a kimenő kommunikációt.
A MarioNET regisztrálja a szolgáltatót, amikor egy felhasználó egy weboldalra látogat, és támadások származhatnak. A támadás terjesztésének lehetőségei között szerepel rosszindulatú webhelyek létrehozása, webhelyek feltörése vagy hirdetések használata.
A böngészők kevés információt szolgáltatnak a felhasználók számára a szolgáltató dolgozókról; Valójában a böngészők nem hangsúlyozzák az új szolgáltató dolgozók létrehozását a felhasználók webhelyein. Nincs riasztás, nincs figyelmeztetés és még egy lehetőség sem arra, hogy megjelenjen a felhasználói engedély kérésére vonatkozó felszólítás, amikor a szolgáltató dolgozik.
Az egyetlen kérés, amely felfedi a szolgáltató létezését, a kezdeti GET kérés a felhasználó első webhelylátogatásakor, amikor a szolgáltató kezdetben regisztrálódik. Annak ellenére, hogy a GET kérés során egy megfigyelő kiterjesztés megfigyelheti a szolgáltató dolgozójának tartalmát, még mindig nem fog semmilyen gyanús kódot megfigyelni - a rosszindulatú feladatokat végrehajtó kódot csak a kézműveskel való első kommunikáció után adják át a Szolgának, és ez a kommunikáció el van rejtve a böngésző kiterjesztéseitől
A MarioNET különösen aggasztó, hogy továbbra is a háttérben fut, miután a felhasználó bezárja a weboldalt, ahol a támadás származik. A vezérlés akkor fejeződik be, amikor a böngésző bezáródik; a kutatók találtak módot is ennek leküzdésére, de ehhez felhasználói interakció szükséges, mivel erre a Web Push API-t használja.
Védelem
A legtöbb modern böngésző tartalmaz lehetőségeket a meglévő szervizmunkások megjelenítésére. A Firefox felhasználói a következőket tölthetik be: szolgáltatómunkások vagy kb .: hibakeresés # dolgozók és a Chrome-felhasználók betölthetik a krómot: // serviceworker-internals / ehhez.
Az ezen oldalakon biztosított funkciókkal bármilyen szolgáltatót törölhet. A Firefox felhasználói mégis letilthatják a Szolgáltatókat.
Vegye figyelembe, hogy ez befolyásolhatja azon webhelyek funkcionalitását, amelyek legitim célokra használják. A dom.serviceWorkers.enabled preferenciát hamis értékre kell állítania a következőről: config.
Néhány böngészőbővítmény, például a Chrome és Firefox szervizmunkásdetektor, értesíti a felhasználókat, amikor egy weboldal regisztrál szervizmunkát.
Most Ön : A böngésző fejlesztőinek végre kell hajtania a kiegészítő biztosítékokat? (a ZDNet-en keresztül)
