Рост веб-технологий открыл новые возможности в Интернете. Браузеры стали более мощными, когда появились новые API и появилась поддержка определенных функций.
Новая атака, названная MarioNET исследователями, обнаружившими ее, подчеркивает, что API-интерфейсами также можно злоупотреблять, если нет надлежащих мер защиты (что имеет место сейчас).
Атака опирается на существующие API-интерфейсы HTML5, которые поддерживаются всеми современными веб-браузерами. Он не требует установки программного обеспечения или взаимодействия с пользователем, и сохраняется даже после того, как пользователь покидает веб-страницу, на которой возникла атака.
Злоумышленник может использовать ресурсы компьютера для всех видов деятельности, включая DDOS-атаки, операции крипто-майнинга или взлома паролей.
Обновление : вы найдете критический голос, который противоречит сценарию, описанному в исследовательской работе здесь. Основной момент критики заключается в том, что метод атаки опирается на функцию PeriodicSync и на данный момент не является частью какой-либо спецификации. Конец
MarioNET использует Service Workers, сценарии, которые запускаются отдельно от посещаемых веб-страниц и в фоновом режиме, при атаке. Основная идея сервисных работников заключается в том, чтобы переместить определенные вычисления в отдельный поток, чтобы он не блокировал и не замедлял работу приложения или веб-страницы, с которой взаимодействует пользователь.
Жизненный цикл сервисных работников полностью независим от страницы, на которой они были созданы. Работники сервиса не имеют доступа к DOM (объектная модель документа) веб-страницы, а также к переменным и функциям родительской страницы.
Использование Service Workers изолирует систему от исходного веб-сайта, дает злоумышленнику постоянный контроль и затрудняет пользователям обнаружение происходящего.
В частности, наша система выполняет три важные задачи:
(i) изоляция от посещаемого веб-сайта, позволяющая детально контролировать используемые ресурсы; (ii) постоянство, продолжая непрерывно работать в фоновом режиме даже после закрытия родительской вкладки; и (iii) уклончивость, избегая обнаружения расширениями браузера, которые пытаются отслеживать активность веб-страницы или исходящее общение.
MarioNET регистрирует работника сервиса, когда пользователь посещает веб-страницу, на которую могут начаться атаки. Возможности распространения атаки включают создание вредоносных сайтов, взлом сайтов или использование рекламы.
Браузеры предоставляют мало информации пользователям о Service Workers; на самом деле браузеры не выделяют создание новых сервисных работников на сайтах для пользователей. Нет предупреждений, запросов и даже нет возможности отобразить запрос на разрешение пользователя при создании сервисных работников.
Единственный запрос, который обнаруживает существование работника сервиса, - это начальный запрос GET во время первого посещения сайта пользователем, когда работник сервиса впервые регистрируется. Хотя во время этого запроса GET расширение мониторинга может наблюдать за содержимым работника службы, оно все равно не будет обнаруживать подозрительный код - код, который будет выполнять вредоносные задачи, доставляется Серванту только после его первого взаимодействия с Кукольником, и это сообщение скрыто от расширений браузера
Что особенно беспокоит MarioNET, так это то, что он продолжает работать в фоновом режиме после того, как пользователь закрывает веб-сайт, на котором возникла атака. Контроль заканчивается, когда веб-браузер закрыт; исследователи также нашли способ преодолеть это, но для этого требуется взаимодействие с пользователем, поскольку для этого используется API Web Push.
защита
В большинстве современных браузеров есть опции для отображения существующих сервисных работников. Пользователи Firefox могут загружать примерно: serviceworkers или about: debugging # working, а пользователи Chrome могут загружать chrome: // serviceworker-internals /, чтобы сделать это.
Вы можете отменить регистрацию любого Сервисного работника, используя функции, представленные на этих страницах. Пользователи Firefox могут вообще отключить Service Workers.
Обратите внимание, что это может повлиять на функциональность сайтов, которые используют его в законных целях. Вам необходимо установить для параметра dom.serviceWorkers.enabled значение false в about: config.
Некоторые расширения браузера, например, Service Worker Detector для Chrome и Firefox, уведомляют пользователей, когда веб-страница регистрирует Service Worker.
Теперь вы : Должны ли разработчики браузеров внедрять дополнительные меры безопасности? (через ZDNet)
