Nárast webových technológií otvoril nové možnosti na internete. Prehliadače sa stali výkonnejšími, keď sa objavili nové rozhrania API a predstavila sa podpora určitých funkcií.
Nový útok, ktorý vedci, ktorí ho objavili, nazval MarioNET, zdôrazňuje, že API môžu byť zneužité aj vtedy, ak nie sú zavedené žiadne primerané záruky (čo je práve teraz).
Útok sa opiera o existujúce rozhrania API HTML5, ktoré všetky moderné webové prehliadače podporujú. Nevyžaduje sa inštalácia softvéru ani interakcia používateľa a pretrváva aj po tom, ako používateľ opustí webovú stránku, na ktorej útok vznikol.
Útočník môže zneužiť prostriedky počítača na všetky druhy činností vrátane útokov DDOS, kryptografických operácií alebo praskania hesla.
Aktualizácia : Tu nájdete kritický hlas, ktorý argumentuje proti scenáru opísanému vo výskumnej správe. Hlavným kritickým bodom je to, že metóda útoku sa spolieha na funkciu nazývanú PeriodicSync a že v tomto bode nie je súčasťou žiadnej špecifikácie. Koniec
Spoločnosť MarioNET používa pri útoku servisných pracovníkov, skripty, ktoré sa spúšťajú oddelene od navštívených webových stránok a na pozadí. Hlavnou myšlienkou servisných pracovníkov je presunúť určité výpočty do samostatného vlákna, aby neblokovalo alebo nespomalovalo aplikáciu alebo webovú stránku, s ktorou používateľ interaguje.
Životný cyklus servisných pracovníkov je úplne nezávislý od stránky, na ktorej boli vytvorené. Servisní pracovníci nemajú prístup k DOM (Object Object Model) webovej premennej a funkcii nadradenej stránky.
Použitie servisných pracovníkov izoluje systém od pôvodnej webovej stránky, poskytuje stálu kontrolu útočníkovi a sťažuje používateľom zisťovanie, čo sa deje.
Náš systém predovšetkým plní tri dôležité ciele:
i) izolácia od navštívenej webovej stránky, ktorá umožňuje dôkladnú kontrolu využívaných zdrojov; ii) vytrvalosť nepretržitým pokračovaním vo svojej činnosti na pozadí aj po zatvorení rodičovskej karty; a (iii) vyhýbavosť, vyhýbanie sa detekcii pomocou rozšírení prehľadávača, ktoré sa snažia monitorovať aktivitu webovej stránky alebo odchádzajúcu komunikáciu.
Spoločnosť MarioNET registruje servisného pracovníka, keď používateľ môže navštíviť útoky na webové stránky. Medzi možnosti rozšírenia útoku patrí vytváranie škodlivých webových stránok, hackerských stránok alebo používanie reklám.
Prehliadače poskytujú používateľom málo informácií o servisných pracovníkoch; Prehliadače v skutočnosti nezdôrazňujú vytváranie nových servisných pracovníkov na webových stránkach pre používateľov. Neexistuje žiadne upozornenie, žiadna výzva a dokonca ani možnosť zobraziť výzvu so žiadosťou o povolenie používateľa pri vytváraní servisných pracovníkov.
Jedinou požiadavkou, ktorá odhaľuje existenciu servisného pracovníka, je počiatočná žiadosť o GET v čase prvej návštevy používateľa na webovej stránke, keď sa servisný pracovník pôvodne zaregistruje. Aj keď počas tejto žiadosti o GET môže monitorovacie rozšírenie pozorovať obsah servisného pracovníka, stále nebude pozorovať žiadny podozrivý kód - kód, ktorý bude vykonávať škodlivé úlohy, je doručený Sluhovníkovi až po jeho prvej komunikácii so Puppeteerom a táto komunikácia je skrytá pred rozšíreniami prehliadača
Čo robí MarioNET obzvlášť znepokojujúcim je to, že sa naďalej spúšťa na pozadí potom, ako používateľ uzavrie webovú stránku, na ktorej útok vznikol. Ovládací prvok končí, keď je webový prehľadávač zatvorený; vedci našli spôsob, ako to tiež prekonať, ale vyžaduje si interakciu používateľa, pretože na to používa rozhranie API Web Push.
ochrana
Väčšina moderných prehliadačov obsahuje možnosti zobrazenia existujúcich servisných pracovníkov. Používatelia prehliadača Firefox môžu načítať obsah about: serviceworkers alebo about: ladenie # pracovníkov a používatelia prehliadača Chrome môžu načítať prehliadač chrome: // serviceworker-internals / a urobiť tak.
Môžete zrušiť registráciu ktoréhokoľvek servisného pracovníka pomocou funkcií uvedených na týchto stránkach. Používatelia prehliadača Firefox môžu ešte viac zakázať servisných pracovníkov.
Upozorňujeme, že to môže mať vplyv na funkčnosť stránok, ktoré ich používajú na legitímne účely. Musíte nastaviť predvoľbu dom.serviceWorkers.enabled na false o about: config.
Niektoré rozšírenia prehľadávača, napr. Detektor Service Worker pre prehliadače Chrome a Firefox, upozorňujú používateľov, keď webová stránka zaregistruje servisného pracovníka.
Teraz ste : Mali by vývojári prehľadávačov implementovať ďalšie bezpečnostné opatrenia? (prostredníctvom ZDNet)
