von Martin Brinkmann am Februar 26, 2019 im Internet, Sicherheit – Keine Kommentare
Das Aufkommen von web-Technologien eröffnet neue Möglichkeiten im Internet. Browser stärker geworden, da neue APIs gelandet und Unterstützung für bestimmte features eingeführt wurde.
Eine neue Attacke namens MarioNET durch den Forscher, der es entdeckt, geht hervor, dass APIs kann auch missbraucht werden, wenn keine angemessenen Sicherheitsmaßnahmen vorhanden sind (was jetzt momentan der Fall ist).
Der Angriff setzt auf vorhandene HTML5-APIs, die alle modernen web-Browser unterstützen. Es erfordert nicht die installation von software oder Interaktion mit dem Benutzer, und bleibt bestehen, auch nachdem der Benutzer verlässt die web-Seite der Angriff stammt.
Der Angreifer kann ein Missbrauch der Ressourcen des Computers für alle Arten von Aktivitäten, einschließlich von DDOS-Angriffen, crypto-mining-Operationen oder das Passwort knacken.
MarioNET verwendet, Service-Mitarbeiter, Skripts, die ausgeführt werden getrennt von der besuchten web-Seiten und im hintergrund, in den Angriff. Die Hauptidee hinter der Service-Mitarbeiter ist, sich zu bewegen, bestimmte Berechnungen zu einem separaten thread, so dass es nicht blockieren oder verlangsamen der app oder web-Seite interagiert der Benutzer mit.
Der Lebenszyklus der Service-Mitarbeiter ist völlig unabhängig von der Seite, die Sie erstellt wurden. Service-Mitarbeiter haben keinen Zugriff auf das DOM (Dynamisches Objektmodell) von der web-Seite und der übergeordneten Seite Variablen und Funktionen.
Der Einsatz von Service-Mitarbeitern isoliert das system von der ursprünglichen website, gibt eine ständige Kontrolle der Angreifer, und macht es schwierig für Benutzer zu erkennen, was Los ist.
Insbesondere unser system erfüllt drei wichtige Ziele:
(i) isolation von der besuchten website, so dass eine fein abgestimmte Kontrolle der eingesetzten Ressourcen; (ii) die Persistenz, indem Sie weiterhin Ihren Betrieb ununterbrochen auf dem hintergrund auch nach dem schließen der übergeordneten Registerkarte; und (iii) Abweichungen, die Vermeidung der Erkennung durch browser-Erweiterungen, die versuchen, zu überwachen, die Webseite, die Tätigkeit oder die ausgehende Kommunikation.
MarioNET registriert einen service-Mitarbeiter, wenn ein Benutzer besucht eine Webseite-Attacken entstehen können. Möglichkeiten zur Verbreitung der Angriff umfassen die Erstellung von bösartigen websites, hacking sites oder mit Inseraten.
Browser bieten wenig Informationen an die Nutzer über die Service-Mitarbeiter; in der Tat, Browser nicht markieren, die Schaffung von neuen service-Mitarbeiter auf Websites für die Benutzer. Es gibt keine Warnung, keine Aufforderung, und nicht sogar eine option, um eine Eingabeaufforderung angezeigt, um Fragen für den Benutzer-Berechtigung verfügen, wenn service-Mitarbeiter erstellt werden.
Die einzige Anforderung, dass zeigt, die Existenz des Arbeitnehmers ist die erste GET-Anfrage an die Uhrzeit des ersten website-Besuch, wenn der service-Mitarbeiter erhält zunächst registriert. Obwohl während des GET-Anforderung einer monitoring-Erweiterung kann beobachten Sie die den Inhalt der service-Mitarbeiter, wird es noch nicht beobachten verdächtige code—der code, durchführen bösartige Aufgaben geliefert, die Diener nur nach der ersten Kommunikation mit dem Puppenspieler, und diese Kommunikation ist versteckt von browser-Erweiterungen
Was macht MarioNET besonders beunruhigend ist, dass es weiterhin im hintergrund ausgeführt, nachdem der Benutzer schließt die website die Attacke entstanden. Die Kontrolle endet, wenn der browser geschlossen ist; die Forscher einen Weg gefunden, um dies zu überwinden, aber es erfordert Benutzereingriff, da Sie mit dem Web-Push-API zu tun.
Schutz
Die meisten modernen Browser bieten Optionen, um bestehende Service-Mitarbeiter. Firefox-Nutzer laden kann über:serviceworkers oder über:debugging#Arbeiter – und Chrome-Benutzer können laden Sie chrome://serviceworker-internals/ zu tun.
Sie können die Registrierung jeder Service-Mitarbeiter mithilfe der Funktionalität auf diesen Seiten. Firefox-Nutzer können diese Funktion deaktivieren, Dienst Arbeitnehmer insgesamt darüber hinaus.
Beachten Sie, dass dies kann Auswirkungen auf die Funktionalität auf Websites, die es verwenden, für legitime Zwecke. Sie müssen die Einstellung dom.serviceWorkers.enabled auf false about:config.
Einige browser-Erweiterungen, z.B. Dienst-Arbeiter-Detektor für Chrome und Firefox, die Benutzer zu Benachrichtigen, wenn eine web-Seite registriert einen Service-Mitarbeiter.
Jetzt Sie: Sollten die browser-Entwickler implementieren zusätzliche sicherungen? (via ZDNet)