da Martin Brinkmann il 26 febbraio, 2019 in Internet, Sicurezza – Ultimo Aggiornamento: 26 febbraio, 2019 – 11 commenti
L’aumento delle tecnologie del web, ha aperto nuove possibilità su Internet. I browser sono diventati più potenti, come nuove Api atterrato e il supporto per alcune funzionalità è stata introdotta.
Un nuovo attacco, chiamato MarioNET dai ricercatori che ha scoperto, evidenzia che le Api possono anche essere abusato, se non adeguate garanzie (è il caso, per ora).
L’attacco si basa su esistente Api HTML5 che tutti i moderni browser web di supporto. Non richiede l’installazione di software o di interazione con l’utente, e persiste anche dopo che l’utente abbandona la pagina web l’attacco ha avuto origine.
L’utente malintenzionato potrebbe abuso di risorse del computer per tutti i tipi di attività, tra cui gli attacchi DDOS, crypto-le operazioni di estrazione o di cracking di password.
MarioNET utilizza Addetti ai servizi di script che vengono eseguiti separato da pagine web visitate e, sullo sfondo, in attacco. L’idea principale dietro gli Operai di Servizio è quello di spostare alcuni calcoli per un thread separato, in modo che non stia bloccando o rallentando l’applicazione o la pagina web che l’utente interagisce con.
Il ciclo di vita dei Lavoratori dei servizi, è completamente indipendente dalla pagina sono stati creati. Servizio di Lavoratori che non hanno accesso al DOM (Document Object Model) della pagina web e la pagina padre variabili e funzioni.
L’utilizzo del Servizio di Lavoratori isolati il sistema da il sito web di provenienza, dà persistente di controllo per l’attaccante, e rende difficile per gli utenti di rilevare ciò che sta accadendo.
In particolare, il nostro sistema soddisfa tre importanti obiettivi:
(i) isolamento dal sito web visitato, permettendo un controllo preciso delle risorse utilizzate; (ii) la persistenza, continuando il suo funzionamento senza soluzione di continuità su sfondo anche dopo la chiusura del genitore scheda; e (iii) l’evasività, evitando il rilevamento da estensioni del browser che cercare di controllare la pagina web dell’attività o comunicazione in uscita.
MarioNET registra un operaio di servizio quando un utente visita una pagina web che gli attacchi si hanno origine. Possibilità di diffondere l’attacco includono la creazione di siti web dannosi, siti di hacking, o attraverso annunci.
Browser fornire informazioni agli utenti circa il Servizio dei Lavoratori; infatti, i browser non evidenziare la creazione di nuovi lavoratori sui siti per gli utenti. Non c’è nessun avviso, nessuna richiesta, e non anche un’opzione per visualizzare un prompt di chiedere il permesso dell’utente quando i lavoratori vengono creati.
L’unica richiesta che rivela l’esistenza di un operaio di servizio è l’iniziale richiesta GET al momento del primo visitare il sito, quando il servizio del lavoratore ottiene inizialmente registrato. Anche se durante tale richiesta GET una estensione di monitoraggio può osservare il contenuto del servizio lavoro, ancora non si osserva alcun sospetto codice—il codice che svolgeranno l’attività dannose viene consegnato al Servo solo dopo la sua prima comunicazione con il Burattinaio, e questa comunicazione è nascosto dalle estensioni del browser
Ciò che rende MarioNET particolarmente preoccupante è che continua a funzionare in background dopo la chiusura del sito, l’attacco ha avuto origine. Il controllo si conclude quando il browser viene chiuso, i ricercatori hanno trovato un modo per superare questo, ma richiede l’interazione dell’utente, in quanto utilizza il Web API Push per farlo.
Protezione
I browser più moderni includono opzioni per la visualizzazione di Servizio esistenti Lavoratori. Gli utenti di Firefox possono caricare su:serviceworkers o about:debug#i lavoratori e gli utenti Chrome possono caricare chrome://serviceworker-internals/ di farlo.
Si può annullare la registrazione di qualsiasi Servizio di lavoro utilizzando le funzionalità fornite in queste pagine. Gli utenti di Firefox possono disabilitare il Servizio Addetti complessivamente, inoltre,.
Si noti che questo può avere un impatto sulla funzionalità dei siti che lo utilizzano per scopi legittimi. È necessario impostare la preferenza dom.serviceWorkers.enabled a false su about:config.
Alcune estensioni del browser, ad esempio di lavoro del Servizio di Rilevatore per Chrome e Firefox, per avvisare gli utenti quando una pagina web registra un Operaio di Servizio.
Ora Si: Dovrebbe browser agli sviluppatori di implementare ulteriori misure di salvaguardia? (via ZDNet)