Vzpon spletnih tehnologij je odprl nove možnosti na internetu. Brskalniki so postali močnejši, ko so pristajali novi API-ji in je bila uvedena podpora za nekatere funkcije.
Nov napad, ki so ga raziskovalci, ki so ga odkrili, poimenovali MarioNET, poudarja, da se lahko API-ji zlorabljajo tudi, če ni vzpostavljenih ustreznih zaščitnih ukrepov (kar je zdaj primer).
Napad temelji na obstoječih API-jih HTML5, ki jih podpirajo vsi sodobni spletni brskalniki. Ne potrebuje namestitve programske opreme ali interakcije z uporabnikom in vztraja tudi potem, ko uporabnik zapusti spletno stran, na kateri je napad nastal.
Napadalec lahko zlorabi vire računalnika za vse vrste dejavnosti, vključno z napadi DDOS, operacijami rudarjenja kriptovalut ali treskanjem gesla.
Posodobitev : Tu najdete kritičen glas, ki nasprotuje scenariju, ki je opisan v raziskovalnem prispevku. Glavna točka kritike je, da se metoda napada opira na funkcijo, imenovano PeriodicSync, in da na tej točki ni del nobene specifikacije. Konec
MarioNET v napadu uporablja Service Workers, skripte, ki se izvajajo ločeno od obiskanih spletnih strani in v ozadju. Glavna ideja storitvenih delavcev je, da določene izračune premaknete v ločeno nit, tako da ne blokira ali upočasni aplikacije ali spletne strani, s katero uporabnik sodeluje.
Življenjski cikel servisnih delavcev je popolnoma neodvisen od strani, na kateri so bili ustvarjeni. Servisni delavci nimajo dostopa do DOM (Document Object Model) spremenljivk in funkcij spletne strani in nadrejene strani.
Uporaba serviserjev izolira sistem od prvotnega spletnega mesta, napadalec vztrajno nadzoruje in uporabnikom otežuje zaznavanje, kaj se dogaja.
Naš sistem zlasti izpolnjuje tri pomembne cilje:
(i) izolacija od obiskane spletne strani, ki omogoča natančen nadzor nad uporabljenimi viri; (ii) vztrajnost z neprekinjenim delovanjem na ozadju tudi po zapiranju matičnega zavihka; in (iii) izogibanje, izogibanje zaznavanju razširitev brskalnika, ki poskušajo nadzorovati delovanje spletne strani ali odhodno komunikacijo.
MarioNET registrira serviserja, ko uporabnik obišče napade na spletno stran. Možnosti za širjenje napada vključujejo ustvarjanje zlonamernih spletnih mest, kramljanje spletnih mest ali uporabo oglasov.
Brskalniki uporabnikom zagotavljajo malo informacij o servisnih delavcih; brskalniki pravzaprav ne poudarjajo ustvarjanja novih servisnih delavcev na spletnih mestih za uporabnike. Ni nobenega opozorila, poziva in niti možnosti, da se prikaže poziv, da prosim uporabnika za dovoljenje, ko so ustvarjeni servisni delavci.
Edina zahteva, ki razkrije obstoj uslužbenca, je začetna zahteva GET ob prvem obisku uporabnikovega spletnega mesta, ko se serviser najprej registrira. Čeprav lahko med tem zahtevom GET razširitev za spremljanje vsebine servisnega delavca še vedno ne opazi sumljive kode - koda, ki bo opravljala zlonamerne naloge, je služabniku dostavljena šele po prvi komunikaciji z lutko, in ta komunikacija je skrita pred razširitvami brskalnika
MarioNET je še posebej zaskrbljujoč, saj še naprej deluje v ozadju, ko uporabnik zapre spletno mesto, na katerem je napad nastal. Nadzor se konča, ko je spletni brskalnik zaprt; raziskovalci so našli način, kako tudi to premagati, vendar je za to potrebna interakcija uporabnikov, saj za to uporablja API Web Push.
Zaščita
Večina sodobnih brskalnikov vključuje možnosti za prikaz obstoječih serviserjev. Uporabniki Firefoxa lahko naložijo približno: serviserje ali približno: odpravljanje napak pri # delavcih in uporabniki Chroma lahko naložijo chrome: // serviceworker-internes / za to.
Lahko prekličete registracijo katerega koli serviserja, ki uporablja funkcije na teh straneh. Uporabniki Firefoxa lahko še naprej onemogočijo Service Workers.
Upoštevajte, da to lahko vpliva na funkcionalnost na spletnih mestih, ki jih uporabljajo v zakonite namene. Morate nastaviti nastavitev dom.serviceWorkers.enabled na false na about: config.
Nekatere razširitve brskalnika, npr. Service Worker Detector za Chrome in Firefox, obvestijo uporabnike, ko spletna stran registrira serviserja.
Zdaj Vi : Ali bi razvijalci brskalnikov morali uvesti dodatne zaščitne ukrepe? (prek ZDNet)
