af Martin Brinkmann på 26 februar 2019 i Internet -, Sikkerheds – Sidste Opdatering: februar 26, 2019 – 9 kommentarer
Fremkomsten af web-teknologier har åbnet op for nye muligheder på Internettet. Browsere er blevet mere kraftfuld som nye Api ‘ er er landet, og støtte til visse funktioner blev indført.
Et nyt angreb, kaldet MarioNET af de forskere, der opdagede det, fremhæver, at Api ‘ er kan også misbruges, hvis ingen passende sikkerhedsforanstaltninger er på plads (som det er tilfældet lige nu).
Angrebet bygger på eksisterende HTML5-Api ‘ er, som alle moderne web-browsere understøtter. Det kræver ikke installation af software eller bruger-interaktion, og fortsætter, selv efter at brugeren forlader web-side angrebet opstod.
Angriberen kan misbruge de ressourcer af computeren til alle typer af aktiviteter, herunder DDOS-angreb, crypto-minedrift, eller password cracking.
MarioNET bruger Service-Arbejdere, scripts, der kører separat fra besøgte web-sider og i baggrunden, i angrebet. Den vigtigste idé bag servicemedarbejdere er at flytte visse beregninger til en separat tråd, så det ikke blokerer eller hæmmer app eller en web-side, som brugeren interagerer med.
Lifecycle-Service Arbejdstagere, der er helt uafhængig af den side, de blev skabt på. Service Arbejdstagere, der ikke har adgang til DOM (Document Object Model) af web-siden og forældre side variabler og funktioner.
Brug af Service-Arbejdere isolerer system fra den oprindelige hjemmeside, giver vedvarende kontrol til angriberen, og gør det vanskeligt for brugerne at opdage, hvad der foregår.
Især vores system opfylder tre vigtige mål:
(jeg) isolation fra den besøgte hjemmeside, så finkornet kontrol af de udnyttede ressourcer; (ii) vedholdenhed, ved at fortsætte sin drift uafbrudt på den baggrund, selv efter at lukke den forælder fane; og (iii) evasiveness, undgå afsløring af browser-udvidelser, der forsøger at overvåge webside aktivitet eller udgående kommunikation.
MarioNET registrerer en service arbejdstager, når en bruger besøger en webside angreb kan komme på. Mulighederne for at sprede angreb omfatter oprettelse af ondsindede websteder, hacking websites, eller ved hjælp af reklamer.
Browsere give lidt information til brugerne om Service-Arbejdere; i virkeligheden, browsere ikke fremhæve oprettelsen af nye servicemedarbejdere på sites for brugere. Der er ingen alarm, ingen prompt, og ikke engang en mulighed for at vise en bede til at bede om brugerens tilladelse, når service arbejdstagere, der er skabt.
Den eneste anmodning, som afslører eksistensen af tjenesten arbejdstager er den første GET-anmodning ved brugerens første besøg på et websted, når arbejdstager får oprindeligt blev registreret. Selv om der i løbet at FÅ anmode om en overvågning udvidelse kan observere, indholdet af den service medarbejder, vil det stadig ikke observere al mistænkelig kode, der—den kode, der vil udføre ondsindede opgaver, der er leveret til den ansatte, efter at den første kommunikation med Dukkefører, og denne kommunikation er skjult fra browser-udvidelser
Hvad gør MarioNET særligt bekymrende er, at det fortsætter med at køre i baggrunden, når brugeren lukker hjemmesiden angrebet opstod. Kontrol slutter, når webbrowseren lukkes; de forskere fundet en måde at overvinde dette, men det kræver brugerinteraktion, som det bruger Web Skubbe API til at gøre det.
Beskyttelse
De fleste moderne browsere inkluderer optioner, for at vise eksisterende Service Arbejdstagere. Firefox-brugere kan indlæse om:serviceworkers eller om:debugging#arbejdstagere og Chrome-brugere kan indlæse chrome://serviceworker-interne/ at gøre det.
Du kan framelde dig til enhver Service Arbejdstager ved hjælp af funktioner, der findes på disse sider. Firefox-brugere kan deaktivere Service Arbejdstagere helt endvidere.
Bemærk, at det kan påvirke funktionaliteten på websites, der bruger det til lovlige formål. Du er nødt til at indstille præferencer dom.serviceWorkers.aktiveret til false på about:config.
Nogle udvidelser til webbrowseren, fx Service Arbejdstager Detektor til Chrome og Firefox, skal du underrette brugere, når en web-side til at registrere en Service Medarbejder.
Nu kan Du: Bør browser-udviklere gennemføre yderligere sikkerhedsforanstaltninger? (via ZDNet)