par Martin Brinkmann le 26 février 2019 dans Internet, Sécurité – Dernière mise à Jour: 26 février 2019 – 9 commentaires
L’essor des technologies du web a ouvert de nouvelles possibilités sur Internet. Les navigateurs sont devenus plus puissants que les nouvelles Api de débarquement et de prise en charge de certains a été introduite.
Une nouvelle attaque, appelé MarioNET par les chercheurs qui l’a découvert, met en évidence que les Api peuvent également être victimes de violence si aucune des garanties appropriées sont en place (ce qui est le cas pour le moment).
L’attaque s’appuie sur l’existant Api HTML5 que tous les navigateurs web pris en charge. Il ne nécessite pas l’installation d’un logiciel ou d’interaction de l’utilisateur, et persiste même après que l’utilisateur quitte la page web de l’attaque provenait.
L’attaquant peut l’abus des ressources de l’ordinateur pour toutes sortes d’activités, y compris les attaques DDOS, le crypto-des opérations d’extraction, ou de craquage de mot de passe.
MarioNET de Service utilise des Travailleurs, des scripts qui s’exécutent distincte de pages web visitées et dans le fond, dans l’attaque. L’idée principale derrière les Ouvriers de Service est de déplacer certains calculs à un thread séparé, de sorte qu’il n’est pas de blocage ou de ralentissement de l’application ou une page web, l’utilisateur interagit avec.
Le cycle de vie des Travailleurs des Services est totalement indépendant de la page qu’ils ont été créés. Service des Travailleurs n’ont pas accès au DOM (Document Object Model) de la page web et la page parent de variables et de fonctions.
L’utilisation du Service de Travailleurs isole le système à partir du site web de provenance, donne persistante de contrôle de l’attaquant, et il est difficile pour les utilisateurs de détecter ce qui se passe.
En particulier, notre système répond à trois objectifs importants:
(i) l’isolement à partir du site web visité, permettant un contrôle précis de la a utilisé ses ressources; (ii) la persistance, par la poursuite de ses activités de manière ininterrompue sur le fond, même après la fermeture de l’onglet parent; et (iii) d’évitement, d’éviter la détection par les extensions de navigateur qui tentent de contrôler la page web de l’activité ou sortant de la communication.
MarioNET enregistre un travailleur des services lorsqu’un utilisateur visite une page web, les attaques peuvent provenir. Les possibilités de propagation de l’attaque inclure la création de sites web malveillants, les sites de piratage, ou à l’aide de publicités.
Les navigateurs offrent peu d’informations aux utilisateurs sur les Travailleurs des Services; en effet, les navigateurs ne mettent pas en évidence la création d’un nouveau service des travailleurs sur les sites des utilisateurs. Il n’y a pas d’alerte, pas d’invite, et même pas une option pour afficher une invite à demander à l’utilisateur l’autorisation lorsque les travailleurs des services sont créés.
La seule demande que révèle l’existence de l’ouvrier de service est la première requête GET au moment de l’utilisateur de la première visite de votre site web, lorsque le travailleur obtient initialement inscrit. Bien qu’au cours de cette demande d’OBTENIR un suivi de l’extension peut observer le contenu du travail de service, il ne sera toujours pas d’observer toutes les suspects code—le code qui permettra de mener à bien les tâches malveillants est livré à la Servante qu’après sa première communication avec le Marionnettiste, et cette communication est masqué dans les extensions de navigateur
Ce qui fait MarioNET particulièrement troublant, c’est qu’il continue à s’exécuter en arrière-plan lorsque l’utilisateur ferme le site web de l’attaque provenait. Le contrôle se termine lorsque le navigateur est fermé; les chercheurs ont trouvé un moyen de surmonter cela, mais il nécessite l’interaction de l’utilisateur qu’il utilise le Push Web API pour le faire.
La Protection de l’
La plupart des navigateurs modernes incluent des options pour afficher des Travailleurs dans les Services. Les utilisateurs de Firefox peuvent charger sur:serviceworkers ou sur:débogage#les travailleurs et les utilisateurs de Chrome peut charger google chrome://serviceworker-internals/ à faire.
Vous pouvez vous désinscrire à tout Travailleur des Services à l’aide de la fonctionnalité sur ces pages. Les utilisateurs de Firefox peuvent désactiver le Service des Travailleurs au total de plus.
Notez que cela peut avoir un impact sur la fonctionnalité sur les sites qui l’utilisent à des fins légitimes. Vous devez définir la préférence dom.serviceWorkers.enabled sur false dans about:config.
Certaines extensions de navigateur, par exemple, Ouvrier de Service de Détecteur pour Chrome et Firefox, avertir les utilisateurs lorsque une page web enregistre un Travailleur des Services.
Maintenant, Vous: Devriez navigateur développeurs de mettre en œuvre des mesures de protection supplémentaires? (via ZDNet)