Uspon web tehnologija otvorio je nove mogućnosti na Internetu. Prilikom slijetanja novih API-ja preglednici su postali snažniji te je uvedena podrška za određene značajke.
Novi napad, nazvan MarioNET od strane istraživača koji ga je otkrio, ističe da se API-i također mogu zloupotrijebiti ako ne postoje odgovarajuće zaštitne mjere (što je trenutno slučaj).
Napad se oslanja na postojeće HTML5 API-je koje podržavaju svi moderni web preglednici. Ne zahtijeva instalaciju softvera ili interakcije s korisnikom i traje čak i nakon što korisnik napusti web stranicu zbog koje je napad nastao.
Napadač može zloupotrijebiti resurse računala za sve vrste aktivnosti, uključujući DDOS napade, kripto-rudarske operacije ili probijanje lozinke.
Ažuriranje : Ovdje nailazite na kritički glas koji se suprotstavlja scenariju opisanom u istraživačkom radu. Glavna kritika je da se metoda napada oslanja na značajku koja se zove PeriodicSync i da u ovom trenutku nije dio nikakvih specifikacija. Kraj
MarioNET koristi Service Workers, skripte koje se pokreću odvojeno od posjećenih web stranica i u pozadini u napadu. Glavna ideja koja stoji iza Service Workersa je premještanje određenih računa u poseban konac tako da ne blokira ili usporava aplikaciju ili web stranicu s kojima korisnik komunicira.
Životni ciklus servisnih radnika potpuno je neovisan o stranici na kojoj su stvoreni. Radnici usluga nemaju pristup varijablama i funkcijama web stranice i nadređene stranice DOM (Document Object Model).
Upotreba Service Workers-a izolira sustav od izvornog web mjesta, pruža trajnu kontrolu napadaču i korisnicima otežava otkrivanje što se događa.
Naš sustav posebno ispunjava tri važna cilja:
(i) izolacija od posjećene web stranice, što omogućava finozrnu kontrolu iskorištenih resursa; (ii) upornost, neprekidno nastavljajući s radom na pozadini čak i nakon zatvaranja matične kartice; i (iii) izbegavanje, izbjegavajući otkrivanje ekstenzijama preglednika koji pokušavaju nadzirati aktivnost web stranice ili odlaznu komunikaciju.
MarioNET registrira uslužnog radnika kada korisnik posjeti web stranice napada mogu nastati. Mogućnosti širenja napada uključuju stvaranje zlonamjernih web stranica, hakiranje web-mjesta ili korištenje oglasa.
Preglednici pružaju korisnicima malo informacija o uslužnim radnicima; U stvari, preglednici ne ističu stvaranje novih radnika za usluge na web lokacijama za korisnike. Nema upozorenja, nema promptnog, pa čak ni mogućnosti prikazivanja upita za traženje korisničkog odobrenja kada se stvore servisni radnici.
Jedini zahtjev koji otkriva postojanje uslužnog radnika je inicijalni GET zahtjev u trenutku prvog posjetitelja web stranice, kada se servisni radnik prvotno registrira. Iako tijekom tog GET zahtjeva proširenje nadzora može nadgledati sadržaj uslužnog radnika, on i dalje neće opaziti sumnjivu šifru - kod koji će obavljati zlonamjerne zadatke dostavljen je Sluzi tek nakon prve komunikacije s Lutkarom, i ova je komunikacija skrivena od proširenja preglednika
Ono što MarioNET čini posebno zabrinjavajućim jest to što se i dalje prikazuje u pozadini nakon što korisnik zatvori web mjesto na kojem je napad nastao. Kontrola se završava kada je web preglednik zatvoren; istraživači su pronašli i način da se ovo prevlada, ali za to je potrebna interakcija korisnika jer za to koristi Web Push API.
Zaštita
Većina modernih preglednika uključuje opcije za prikaz postojećih servisnih radnika. Korisnici Firefoxa mogu učitati o: serviserima ili otprilike: otklanjanje pogrešaka # radnika i korisnici Chromea mogu učitati chrome: // serviceworker-internes / da to učine.
Možete odjaviti bilo kojeg servisnog radnika koristeći funkcionalnost na ovim stranicama. Korisnici Firefoxa mogu još više onemogućiti servisne radnike.
Imajte na umu da to može utjecati na funkcionalnost web lokacija koje ih koriste u zakonite svrhe. Morate postaviti postavku dom.serviceWorkers.enabled na false na about: config.
Neka proširenja preglednika, npr. Service Worker Detector za Chrome i Firefox, obaviještavaju korisnike kada web stranica registrira Service Worker.
Sada vi : Da li bi programeri preglednika trebali implementirati dodatne mjere zaštite? (putem ZDNet)
