door Martin Brinkmann op 26 februari 2019 in Internet -, Veiligheid – Geen reacties
De opkomst van web technologieën nieuwe mogelijkheden op het Internet. Browsers zijn krachtiger als nieuwe Api ‘ s geland en ondersteuning voor bepaalde functies geïntroduceerd.
Een nieuwe aanval, genaamd MarioNET door de onderzoekers hebben dat ontdekt, benadrukt dat de Api ‘ s kan ook misbruikt worden als er geen goede maatregelen zijn genomen (dat is het geval nu).
De aanval is gebaseerd op bestaande HTML5 Api ‘ s die van alle moderne web browsers ondersteunen. Het vereist geen installatie van software of interactie van de gebruiker, en blijft bestaan, zelfs nadat de gebruiker de webpagina de aanval ontstaan.
De aanvaller kan misbruik maken van de resources van de computer voor allerlei activiteiten, zoals DDOS-aanvallen, crypto-mijnbouw, of het kraken van wachtwoorden.
MarioNET gebruikt dienstverleners, scripts die werken apart van bezochte webpagina ‘ s en op de achtergrond, in de aanval. Het belangrijkste idee achter de Dienst voor Werknemers en bepaalde berekeningen op een aparte thread, zodat het niet blokkeren of vertragen van de app of web pagina van de gebruiker interageert met.
De levenscyclus van Dienst Werknemers is volledig onafhankelijk van de pagina waar ze werden gemaakt. Dienst Werknemers geen toegang hebben tot de DOM (Dynamische Object Model) van de webpagina en de bovenliggende pagina van variabelen en functies.
Het gebruik van de Dienst Werknemers isoleert van het systeem van de oorspronkelijke website, geeft permanente controle aan de aanvaller, en maakt het voor gebruikers lastig om te ontdekken wat er gaande is.
In het bijzonder, ons systeem voldoet aan drie belangrijke doelstellingen:
(i) isolatie van de bezochte website, zodat controle van de ingezette middelen; (ii) de volharding, door de voortzetting van haar werking steeds op de achtergrond, zelfs na het sluiten van de ouder tabblad; en (iii) evasiveness, het vermijden van detectie door browser-extensies die proberen toezicht te houden op de webpagina ‘ s activiteit of uitgaande communicatie.
MarioNET registreert een service werknemer wanneer een gebruiker een webpagina aanvallen kunnen ontstaan. Mogelijkheden voor verspreiding van het vallen onder andere het maken van kwaadaardige websites, het hacken van sites of met behulp van advertenties.
Browsers bieden weinig informatie aan de gebruikers over de Dienstverlening van de Werknemers; in feite, browsers niet markeren de oprichting van de nieuwe dienst werknemers op de sites van de gebruikers. Er is geen waarschuwing, geen aanwijzing, en niet eens een optie om een aanwijzing te vragen voor de gebruiker toestemming als dienst werknemers zijn gemaakt.
Het enige verzoek dat duidt op het bestaan van de dienst van de werknemer is de eerste GET-verzoek op het moment van de gebruiker op diens eerste bezoek aan de website, wanneer de dienst de werknemer wordt in eerste instantie geregistreerd is. Hoewel tijdens die aanvraag een monitoring-extensie kunnen waarnemen van de inhoud van de dienst de werknemer, zal het nog steeds niet in acht verdachte code—de code die het uitvoeren van de kwaadaardige taken wordt geleverd aan de Knecht alleen na de eerste communicatie met de Poppenspeler, en deze communicatie is verborgen browser-extensies
Wat maakt MarioNET vooral verontrustend is, is dat het blijft op de achtergrond worden uitgevoerd nadat de gebruiker sluit de website van de aanval ontstaan. De controle eindigt zodra de webbrowser wordt afgesloten; de onderzoekers een manier gevonden om dit te overwinnen, maar het vereist interactie met de gebruiker als het gebruik maakt van de Web Push API te doen.
Bescherming
De meeste moderne browsers bevatten opties voor het weergeven van bestaande Dienstverlening van de Werknemers. Firefox-gebruikers kunnen laden over:serviceworkers of about:debug#werknemers en Chrome-gebruikers kunnen laden chrome://serviceworker-internals/ te doen.
U kunt de registratie van een Service Werknemer met de functie die op deze pagina ‘ s. Firefox-gebruikers kunnen uitschakelen van Dienst Werknemers helemaal verder.
Merk op dat deze van invloed kunnen zijn functionaliteit op sites die het gebruiken voor rechtmatige doeleinden. U moet de voorkeur van de dom.serviceWorkers.ingeschakeld op false op about:config.
Sommige browser-extensies, bijvoorbeeld Service Werknemer Detector voor Chrome en Firefox, gebruikers op de hoogte stellen wanneer een web pagina registreert een Service Werknemer.
Nu U: Moet de browser-ontwikkelaars het implementeren van aanvullende waarborgen? (via ZDNet)