Žiniatinklio technologijų atsiradimas atvėrė naujas galimybes internete. Nusileidus naujoms API ir įdiegus tam tikrų funkcijų palaikymą, naršyklės tapo galingesnės.
Nauja ataka, kurią ją atradę tyrėjai vadino „MarioNET“, pabrėžia, kad API taip pat gali būti piktnaudžiaujama, jei nėra tinkamų apsaugos priemonių (taip yra šiuo metu).
Ataka priklauso nuo esamų HTML5 API, kurias palaiko visos šiuolaikinės žiniatinklio naršyklės. Tam nereikia įdiegti programinės įrangos ar sąveikos su vartotoju. Tai išlieka net ir vartotojui išėjus iš tinklalapio, kai kilo išpuolis.
Užpuolikas gali piktnaudžiauti kompiuterio ištekliais vykdydamas bet kokią veiklą, įskaitant DDOS atakas, šifravimo operacijas ar slaptažodžių nulaužimą.
Atnaujinimas : rasite kritišką balsą, kuris prieštarauja scenarijui, aprašytam tyrimo dokumente. Pagrindinis kritikos taškas yra tai, kad atakos metodas remiasi funkcija, vadinama PeriodicSync, ir kad šiuo metu ji nėra jokia specifikacija. Pabaiga
„MarioNET“ atakoje naudoja „Service Workers“ scenarijus, kurie vykdomi atskirai nuo lankomų tinklalapių ir fone. Pagrindinė paslaugų darbuotojų idėja yra perkelti tam tikrus skaičiavimus į atskirą giją, kad ji neužblokuotų ar sulėtintų programos ar tinklalapio, su kuriuo sąveikauja vartotojas.
Aptarnavimo darbuotojų gyvenimo ciklas yra visiškai nepriklausomas nuo puslapio, kuriame jie buvo sukurti. Aptarnavimo darbuotojai neturi prieigos prie DOM (dokumento objekto modelio) tinklalapio ir pirminio puslapio kintamųjų bei funkcijų.
Naudodamiesi „Service Workers“ sistema išskiria sistemą iš pradinės svetainės, suteikia nuolatinę kontrolę užpuolikui ir vartotojams tampa sunku nustatyti, kas vyksta.
Visų pirma, mūsų sistema įgyvendina tris svarbius tikslus:
i) izoliacija nuo lankomos svetainės, leidžianti tiksliai kontroliuoti naudojamus išteklius; ii) atkaklumas, tęsiant veiklą nepertraukiamai fone, net uždarius pagrindinį skirtuką; ir (iii) vengimas išvengti vengimo aptikti naršyklės plėtinius, kurie bando stebėti tinklalapio veiklą ar išeinantį ryšį.
„MarioNET“ užregistruoja aptarnaujantį darbuotoją, kai vartotojas lankosi tinklalapyje. Galimybė skleisti ataką apima kenksmingų svetainių kūrimą, svetainių įsilaužimą ar reklamų naudojimą.
Naršyklės vartotojams teikia mažai informacijos apie paslaugų darbuotojus; Tiesą sakant, naršyklės neišryškina naujų paslaugų darbuotojų kūrimo svetainėse vartotojams. Nėra įspėjimo, raginimo ir net galimybės parodyti raginimą paprašyti vartotojo leidimo, kai sukuriami paslaugų darbuotojai.
Vienintelis prašymas, kuris parodo paslaugų darbuotojo egzistavimą, yra pirminis GET prašymas pirmojo vartotojo apsilankymo svetainėje metu, kai aptarnaujantis darbuotojas iš pradžių registruojasi. Nors per tą GET užklausą stebėjimo plėtinys gali stebėti aptarnaujančio darbuotojo turinį, jis vis tiek neįžvelgs įtartino kodo - kodas, kuris atliks kenkėjiškas užduotis, Tarnautojui bus pristatytas tik po pirmojo ryšio su mokiniu. šis ryšys yra paslėptas nuo naršyklės plėtinių
„MarioNET“ ypač neramina tai, kad jis ir toliau veikia fone po to, kai vartotojas uždaro svetainę, kurioje kilo išpuolis. Valdymas baigiasi, kai uždaroma interneto naršyklė; tyrėjai rado būdą, kaip tai išspręsti, tačiau tam reikalinga vartotojo sąveika, nes tam naudojama „Web Push“ API.
Apsauga
Daugelyje šiuolaikinių naršyklių yra parinktys esamiems paslaugų darbuotojams rodyti. „Firefox“ vartotojai gali įkelti apie: paslaugų teikėjus arba apie: derinimo darbus # darbuotojus, o „Chrome“ vartotojai gali įkelti „ chrome“: // paslaugų teikėjų vidinius darbuotojus / tai padaryti.
Naudodamiesi šiais puslapiais teikiamomis funkcijomis, galite išregistruoti bet kurį paslaugų darbuotoją. „Firefox“ vartotojai gali dar labiau išjungti aptarnaujančius darbuotojus.
Atminkite, kad tai gali paveikti svetainių, kurios ją naudoja teisėtais tikslais, funkcionalumą. Turite nustatyti, kad nuostata dom.serviceWorkers.enabled būtų klaidinga apie: config.
Kai kurie naršyklės plėtiniai, pvz., „Chrome“ ir „Firefox“ paslaugų darbuotojo detektorius, praneša vartotojams, kai internetinis puslapis užregistruoja paslaugų darbuotoją.
Dabar jūs : Ar naršyklių kūrėjai turėtų įgyvendinti papildomas apsaugos priemones? (per „ZDNet“)
