Възходът на уеб технологиите отвори нови възможности в Интернет. Браузърите станаха по-мощни, когато се приземяваха нови API и беше въведена поддръжка за определени функции.
Нова атака, наречена MarioNET от изследователите, които са я открили, подчертава, че API-ите могат също да бъдат злоупотребявани, ако не са налице подходящи защитни мерки (какъвто е случаят в момента).
Атаката разчита на съществуващите HTML5 API, които поддържат всички съвременни уеб браузъри. Той не изисква инсталиране на софтуер или взаимодействие с потребителя и продължава дори след като потребителят напусне уеб страницата, от която е възникнала атаката.
Нападателят може да злоупотребява с ресурсите на компютъра за всички видове дейности, включително DDOS атаки, криптовалутни операции или разбиване на парола.
Актуализация : Тук намирате критичен глас, който противоречи на сценария, описан в изследователския документ тук. Основният момент на критиката е, че методът на атака разчита на функция, наречена PeriodicSync и че в този момент тя не е част от спецификацията. Край
MarioNET използва Service Workers, скриптове, които се изпълняват отделно от посетените уеб страници и на заден план, при атаката. Основната идея зад Service Workers е да преместите определени изчисления в отделна тема, така че да не блокира или забавя приложението или уеб страницата, с която потребителят взаимодейства.
Жизненият цикъл на сервизните работници е напълно независим от страницата, на която са създадени. Служителите нямат достъп до DOM (Document Object Model) на променливите и функциите на уеб страницата и родителската страница.
Използването на Service Workers изолира системата от първоначалния уебсайт, дава постоянен контрол на нападателя и затруднява потребителите да открият какво става.
По-специално нашата система изпълнява три важни цели:
i) изолация от посетения уебсайт, позволяваща фино зърнене на контролирането на използваните ресурси; (ii) постоянство, като продължи работата си непрекъснато на заден план дори след затваряне на родителския раздел; и (iii) уклончивост, избягване на откриване от разширения на браузъра, които се опитват да наблюдават активността на уеб страницата или изходящата комуникация.
MarioNET регистрира сервизен работник, когато потребителят посещава атаки на уеб страници, които могат да възникнат. Възможностите за разпространение на атаката включват създаване на злонамерени уебсайтове, хакерски сайтове или използване на реклами.
Браузърите предоставят малко информация на потребителите за сервизните работници; всъщност браузърите не подчертават създаването на нови сервизни работници на сайтове за потребителите. Няма предупреждение, няма подкана и дори няма опция за показване на подкана да се поиска разрешение от потребителя, когато се създават сервизни работници.
Единствената заявка, която разкрива съществуването на сервизния работник, е първоначалната GET заявка в момента на първото посещение на уебсайта на потребителя, когато първоначално се регистрира сервизният работник. Въпреки че по време на тази заявка GET дадено разширение за наблюдение може да наблюдава съдържанието на сервизния работник, той все още няма да забележи подозрителен код - кодът, който ще изпълнява злонамерените задачи, се доставя на Служещия само след първата му комуникация с Puppeteer, и тази комуникация е скрита от разширенията на браузъра
Това, което прави MarioNET особено притеснително е, че той продължава да работи във фонов режим, след като потребителят затвори уебсайта, от който е възникнала атаката. Контролът приключва, когато уеб браузърът е затворен; изследователите намериха начин да преодолеят и това, но това изисква взаимодействие с потребителя, тъй като използва Web Push API за това.
защита
Повечето съвременни браузъри включват опции за показване на съществуващи сервизни работници. Потребителите на Firefox могат да заредят около: сервизни работници или около: отстраняване на грешки # работници, а потребителите на Chrome могат да заредят chrome: // serviceworker-Internals /, за да го направят.
Можете да отмените регистрация на всеки сервизен работник, използвайки функционалност, предоставена на тези страници. Потребителите на Firefox могат също така да деактивират Service Workers.
Имайте предвид, че това може да повлияе на функционалността на сайтове, които го използват за законни цели. Трябва да зададете предпочитанието dom.serviceWorkers.enabled на false на about: config.
Някои разширения на браузъра, например Service Worker Detector за Chrome и Firefox, уведомяват потребителите, когато уеб страница регистрира Service Worker.
Сега Вие : Трябва ли разработчиците на браузъри да прилагат допълнителни защитни мерки? (чрез ZDNet)
