av Martin Brinkmann på februar 26, 2019 i Internett -, Sikkerhet – Siste Oppdatering: februar 26, 2019 – 13 kommentarer
Fremveksten av internett-teknologi åpnet opp for nye muligheter på Internett. Nettlesere har blitt mer kraftig som nye Api-landet og støtte for visse funksjoner ble innført.
Et nytt angrep, kalt MarioNET av forskerne som oppdaget det, fremhever at Api-ene kan også bli misbrukt hvis det ikke riktig sikkerhetstiltak er på plass (som er tilfelle akkurat nå).
Angrepet baserer seg på eksisterende HTML5-Api-er som alle moderne nettlesere støtter. Det krever ikke installasjon av programvare eller brukermedvirkning, og vedvarer selv etter at brukeren forlater websiden angrepet stammer på.
Angriperen kan misbruke ressurser av datamaskinen for alle typer aktiviteter som DDOS-angrep, crypto-gruvedrift, eller passord cracking.
MarioNET bruker Service Arbeidere, skript som kjøres separat fra websidene du har besøkt, og i bakgrunnen, i angrepet. Den viktigste ideen bak Service Arbeidere er å flytte enkelte beregninger til en egen tråd slik at den ikke blokkerer eller bremse ned app eller webside brukeren samhandler med.
Livssyklusen av Service Arbeidere er helt uavhengig fra siden de ble opprettet på. Service Arbeidere ikke har tilgang til DOM (Document Object Model) av web-side og overordnet side variabler og funksjoner.
Bruk av Tjenesten Arbeidere isolater systemet fra det opprinnelige nettstedet, gir vedvarende kontroll til angriperen, og gjør det vanskelig for brukerne å oppdage hva som skjer.
Spesielt vårt system oppfyller tre viktige mål:
(jeg) isolasjon fra besøkt nettside, slik at finkornet kontroll av de benyttede ressurser; (ii) utholdenhet, ved å fortsette sin drift uavbrutt på bakgrunn selv etter stengetid den overordnede kategorien; og (iii) evasiveness, unngå deteksjon av leserutvidelser som prøver å overvåke nettside aktivitet eller utgående kommunikasjon.
MarioNET registrerer en service arbeidstaker når en bruker besøker en nettside angrep kan oppstå på. Mulighetene til å spre angrepet inkluderer å skape skadelige nettsteder, hacking nettsteder, eller ved hjelp av annonser.
Nettlesere gir lite informasjon til brukere om Service Arbeidere, faktisk, nettlesere ikke markere etableringen av nye tjenesten arbeidere på nettsteder til brukere. Det er ingen varsling, ikke-ledeteksten, og ikke engang et alternativ for å vise en melding for å be om brukerens tillatelse når service arbeidere er opprettet.
Bare be om at avslører eksistensen av service arbeidstaker er den første GET-forespørsel på tidspunktet for brukerens første nettsiden å besøke, når tjenesten arbeidstaker blir registrert. Selv om det i løpet av FÅ be om en overvåking extension kan observere innholdet i tjenesten arbeidstaker, vil det fortsatt ikke observere mistenkelig kode—koden som vil utføre skadelige oppgaver er levert til den Tjener bare etter sin første kommunikasjon med Nå, og denne kommunikasjonen er skjult fra leserutvidelser
Hva gjør MarioNET spesielt problematisk er at det fortsetter å kjøre i bakgrunnen når brukeren lukker nettsiden angrepet stammer på. Kontrollen avsluttes når nettleseren lukkes, har forskere funnet en måte å overvinne dette, men det krever at brukeren foretar seg noe som den bruker Trykk og Web API-et til å gjøre det.
Beskyttelse
De fleste moderne nettlesere finner du valg for å vise eksisterende Tjeneste Arbeidstakere. Firefox-brukere kan laste om:serviceworkers eller om feilsøking#arbeidere og Chrome-brukere kan laste inn chrome://serviceworker-innvendige/ til å gjøre det.
Du kan avregistrere deg en Tjeneste Arbeidstaker å bruke funksjonalitet som tilbys på disse sidene. Firefox-brukere kan deaktivere Tjenesten Arbeidere tilsammen videre.
Merk at dette kan påvirke funksjonaliteten på nettsteder som bruker det for legitime formål. Du må angi preferanser dom.serviceWorkers.aktivert til false på ” about:config.
Noen leserutvidelser, f.eks. Service Arbeidstaker Detektor for Chrome og Firefox, og varsle brukerne når en web-side registrerer en Service Arbeidstaker.
Nå er Du: Bør nettleser utviklere implementere ytterligere sikringstiltak? (via ZDNet)