Kebangkitan teknologi web membuka kemungkinan baru di Internet. Pelayar telah menjadi lebih kuat apabila API baru mendarat dan sokongan untuk ciri-ciri tertentu diperkenalkan.
Serangan baru, yang dipanggil MarioNET oleh para penyelidik yang menemuinya, menyoroti bahawa API juga boleh disalahgunakan jika tidak ada perlindungan yang sesuai (yang kini berlaku sekarang).
Serangan ini bergantung kepada API HTML5 sedia ada yang menyokong semua penyemak imbas web moden. Ia tidak memerlukan pemasangan perisian atau interaksi pengguna, dan berterusan walaupun selepas pengguna meninggalkan laman web serangan itu berasal.
Penyerang mungkin menyalahgunakan sumber komputer bagi semua jenis aktiviti termasuk serangan DDOS, operasi penambangan crypto, atau kata laluan retak.
Kemas kini : Anda mencari suara kritikal yang berhujah terhadap senario yang diterangkan dalam kertas penyelidikan di sini. Titik utama kritikan ialah kaedah serangan bergantung pada ciri yang dipanggil PeriodicSync dan bahawa ia bukan sebahagian daripada sebarang spesifikasi pada masa ini. Akhirnya
MarioNET menggunakan Pekerja Perkhidmatan, skrip yang dijalankan berasingan dari laman web yang dilawati dan di latar belakang, dalam serangan tersebut. Idea utama di sebalik Pekerja Perkhidmatan adalah untuk mengalihkan perhitungan tertentu ke benang berasingan supaya ia tidak menghalang atau melambatkan aplikasi atau laman web pengguna berinteraksi dengan.
Kitar hayat Pekerja Perkhidmatan adalah bebas dari halaman yang dicipta. Pekerja Perkhidmatan tidak mempunyai akses ke DOM (Model Objek Dokumen) halaman web dan pembolehubah dan fungsi halaman induk.
Penggunaan Pekerja Perkhidmatan mengasingkan sistem dari laman web yang berasal, memberikan kawalan yang berterusan kepada penyerang, dan menjadikannya sulit bagi pengguna untuk mengesan apa yang sedang terjadi.
Khususnya, sistem kami memenuhi tiga objektif penting:
(i) pengasingan dari laman web yang dilawati, membenarkan kawalan yang baik dari sumber yang digunakan; (ii) ketekunan, dengan meneruskan operasinya tanpa henti pada latar belakang walaupun selepas menutup tab induk; dan (iii) mengelak, mengelakkan pengesanan oleh pelayar pelayar yang cuba memantau aktiviti laman web atau komunikasi keluar.
MarioNET mendaftarkan pekerja perkhidmatan apabila pengguna melawat serangan halaman web boleh berasal. Kemungkinan untuk menyebarkan serangan termasuk membuat laman web yang berniat jahat, tapak hack, atau menggunakan iklan.
Pelayar menyediakan sedikit maklumat kepada pengguna mengenai Pekerja Perkhidmatan; sebenarnya, pelayar tidak menyerlahkan penciptaan pekerja perkhidmatan baru di tapak kepada pengguna. Tidak ada waspada, tidak pantas, dan tidak ada pilihan untuk memaparkan prompt untuk meminta kebenaran pengguna apabila pekerja perkhidmatan dicipta.
Satu-satunya permintaan yang mendedahkan kewujudan pekerja perkhidmatan ialah permintaan awal GET pada masa lawatan tapak web pertama pengguna, apabila pekerja perkhidmatan mula terdaftar. Walaupun semasa GET meminta pelanjutan pemantauan dapat melihat kandungan pekerja perkhidmatan, ia masih tidak akan melihat mana-mana kod yang mencurigakan-kod yang akan melaksanakan tugas-tugas jahat dihantar ke Hamba hanya selepas komunikasi pertama dengan Puppeteer, dan komunikasi ini tersembunyi daripada pelanjutan penyemak imbas
Apa yang membuat MarioNET sangat mengganggu adalah bahawa ia terus berjalan di latar belakang selepas pengguna menutup laman web serangan itu berasal. Kawalan berakhir apabila penyemak imbas web ditutup; para penyelidik mendapati cara untuk mengatasi ini juga, tetapi ia memerlukan interaksi pengguna kerana menggunakan API Push Web untuk melakukannya.
Perlindungan
Kebanyakan pelayar moden termasuk pilihan untuk memaparkan Pekerja Perkhidmatan yang sedia ada. Pengguna Firefox mungkin memuatkan : pekerja servis atau tentang: debug # pekerja dan pengguna Chrome mungkin memuat chrome: // serviceworker-internals / untuk melakukannya.
Anda mungkin tidak mendaftarkan mana-mana Pekerja Perkhidmatan menggunakan fungsi yang disediakan di halaman ini. Pengguna Firefox boleh menyahdayakan Pekerja Perkhidmatan sama sekali lagi.
Perhatikan bahawa ini mungkin memberi kesan fungsi pada tapak yang menggunakannya untuk tujuan yang sah. Anda perlu menetapkan keutamaan dom.serviceWorkers.enabled ke palsu tentang: config.
Beberapa pelanjutan penyemak imbas, misalnya Pengesan Pekerja Perkhidmatan untuk Chrome dan Firefox, memberitahu pengguna apabila halaman web mendaftarkan Pekerja Servis.
Sekarang Anda : Sekiranya pemaju pelayar melaksanakan perlindungan tambahan? (melalui ZDNet)
