Атака MarioNET дозволяє хакерам керувати вашим браузером навіть після того, як ви залишите сторінку атаки

Зростання веб-технологій відкрило нові можливості в Інтернеті. Браузери стали більш потужними з посадкою нових API та підтримкою певних функцій.

Нова атака, яку дослідники, які виявили її, називають MarioNET, підкреслює, що API також можуть бути зловживані, якщо не встановлено належних гарантій (що має місце зараз).

Атака покладається на існуючі HTML5 API, які підтримують усі сучасні веб-браузери. Він не вимагає встановлення програмного забезпечення або взаємодії з користувачем і зберігається навіть після того, як користувач залишить веб-сторінку, на якій почалася атака.

Зловмисник може зловживати ресурсами комп’ютера для будь-яких видів діяльності, включаючи DDOS-атаки, операції з видобутку криптовалют або злом пароля.

Оновлення : Ви знаходите критичний голос, який суперечить сценарію, описаному в дослідницькій роботі тут. Основним моментом критики є те, що метод атаки покладається на функцію під назвою PeriodicSync і що вона не є частиною жодної специфікації на даний момент. Кінець

MarioNET використовує Service Workers, сценарії, які виконуються окремо від відвідуваних веб-сторінок і у фоновому режимі, в атаці. Основна ідея службових працівників - перемістити певні обчислення в окремий потік, щоб він не блокував і не сповільнював додаток або веб-сторінку, з якою користувач взаємодіє.

Життєвий цикл службовців служби повністю не залежить від сторінки, на якій вони були створені. Працівники служби не мають доступу до DOM (Document Object Model) змінних та функцій батьківської сторінки та батьківської сторінки.

Використання службових службовців ізолює систему від початкового веб-сайту, надає стійкий контроль зловмиснику та ускладнює користувачам виявлення того, що відбувається.

Зокрема, наша система виконує три важливі завдання:

(i) ізоляція від відвідуваного веб-сайту, що дозволяє чітко контролювати використовувані ресурси; (ii) стійкість, продовжуючи свою роботу безперервно на задньому плані навіть після закриття батьківської вкладки; та (iii) ухилення, уникаючи виявлення розширень веб-переглядача, які намагаються контролювати активність веб-сторінки або вихідне спілкування.

MarioNET реєструє працівника служби, коли користувач відвідує веб-сторінки, можуть виникати атаки. Можливості розповсюдження атаки включають створення шкідливих веб-сайтів, злому сайтів або використання реклами.

Веб-переглядачі надають користувачам мало інформації про службовців; насправді браузери не виділяють створення нових службових службовців на сайтах для користувачів. Немає жодного попередження, жодного підказок і навіть не можливого відображення підказки, щоб запитати дозволу користувача під час створення службових службовців.

Єдиний запит, який розкриває існування сервісного працівника, - це початковий запит GET під час першого відвідування веб-сайту користувача, коли сервісний працівник отримує первісну реєстрацію. Хоча під час цього запиту GET моніторингове розширення може спостерігати вміст сервісного працівника, він все одно не буде спостерігати жодного підозрілого коду - код, який виконуватиме шкідливі завдання, доставляється Службі лише після першого спілкування з Ляльком, і ця комунікація прихована від розширень браузера

Що робить MarioNET особливо тривожним, це те, що він продовжує працювати у фоновому режимі після закриття користувачем веб-сайту, на якому почалася атака. Керування закінчується, коли веб-браузер закритий; дослідники також знайшли спосіб подолати це, але для цього потрібна взаємодія з користувачем, оскільки для цього використовується API Web Push.

Захист

Більшість сучасних веб-переглядачів містять варіанти відображення існуючих службовців. Користувачі Firefox можуть завантажувати інформацію про: службових працівників або про: налагодження # працівників, а користувачі Chrome можуть завантажувати chrome: // serviceworker-internes / для цього.

Ви можете скасувати реєстрацію будь-якого сервісного працівника, використовуючи функціональні можливості, надані на цих сторінках. Користувачі Firefox також можуть взагалі відключити службових працівників.

Зауважте, що це може вплинути на функціональність на сайтах, які використовують його в законних цілях. Потрібно встановити параметр dom.serviceWorkers.enabled на false на about: config.

Деякі розширення браузера, наприклад, Detector Service Worker для Chrome і Firefox, повідомляють користувачів, коли веб-сторінка реєструє Service Worker.

Тепер Ви : Чи повинні розробники браузерів впроваджувати додаткові гарантії? (через ZDNet)