Tīmekļa tehnoloģiju pieaugums pavēra jaunas iespējas internetā. Pārlūkprogrammas ir kļuvušas jaudīgākas, jo tiek piezemētas jaunas API un ieviests atbalsts noteiktām funkcijām.
Jauns uzbrukums, ko pētnieki, kas to atklāja, sauc par MarioNET, uzsver, ka arī API var tikt ļaunprātīgi izmantoti, ja nav ieviesti atbilstoši drošības pasākumi (tas ir šobrīd).
Uzbrukums ir atkarīgs no esošajām HTML5 API, kuras atbalsta visi mūsdienu tīmekļa pārlūkprogrammas. Tam nav nepieciešama programmatūras instalēšana vai lietotāja mijiedarbība, un tas saglabājas arī pēc tam, kad lietotājs atstāj tīmekļa lapu, kurā radies uzbrukums.
Uzbrucējs var ļaunprātīgi izmantot datora resursus visu veidu darbībām, ieskaitot DDOS uzbrukumus, kriptogrāfijas ieguves darbības vai paroļu uzlaušanu.
Atjauninājums : atrodat kritisku balsi, kas iebilst pret scenāriju, kas aprakstīts šeit pētījuma dokumentā. Galvenais kritikas punkts ir tas, ka uzbrukuma metode balstās uz funkciju, ko sauc par PeriodicSync, un ka šajā brīdī tā nav iekļauta nevienā specifikācijā. Beigas
Uzbrukumā MarioNET izmanto pakalpojumu darbiniekus, skriptus, kas darbojas atsevišķi no apmeklētajām tīmekļa lapām un fonā. Pakalpojuma darbinieku galvenā ideja ir pārvietot noteiktus aprēķinus uz atsevišķu pavedienu, lai tas nebloķētu vai palēninātu lietotni vai tīmekļa lapu, ar kuru mijiedarbojas lietotājs.
Servisa darbinieku dzīves cikls ir pilnīgi neatkarīgs no lapas, kurā viņi tika izveidoti. Servisa darbiniekiem nav piekļuves tīmekļa lapas DOM (Document Object Model) un vecāku lapas mainīgajiem un funkcijām.
Servisa darbinieku izmantošana izolē sistēmu no izcelsmes vietnes, nodrošina pastāvīgu kontroli uzbrucējam un apgrūtina lietotājus atklāt notiekošo.
Jo īpaši mūsu sistēma pilda trīs svarīgus mērķus:
i) izolācija no apmeklētās tīmekļa vietnes, kas ļauj precīzi kontrolēt izmantotos resursus; ii) noturība, nepārtraukti turpinot darbību uz fona pat pēc cilnes cilnes aizvēršanas; un (iii) izvairīšanās, izvairoties no atklāšanas ar pārlūka paplašinājumiem, kas mēģina uzraudzīt tīmekļa lapas darbību vai izejošo saziņu.
MarioNET reģistrē servisa darbinieku, kad lietotājs apmeklē tīmekļa lapu uzbrukumus. Uzbrukuma izplatīšanas iespējas ietver ļaunprātīgu vietņu izveidi, hakeru vietņu izveidi vai sludinājumu izmantošanu.
Pārlūkprogrammas lietotājiem sniedz maz informācijas par servisa darbiniekiem; faktiski pārlūkprogrammas lietotājiem neizceļ jaunu pakalpojumu darbinieku izveidi vietnēs. Kad tiek izveidoti servisa darbinieki, nav trauksmes, uzvednes un pat nav iespējas parādīt uzvedni, kurā lūgt lietotāja atļauju.
Vienīgais pieprasījums, kas atklāj apkalpojošā darbinieka esamību, ir sākotnējais GET pieprasījums lietotāja pirmā vietnes apmeklējuma laikā, kad pakalpojuma darbinieks sākotnēji tiek reģistrēts. Kaut arī šī GET pieprasījuma laikā uzraudzības paplašinājums var novērot apkalpojošā darbinieka saturu, tas joprojām neievēros aizdomīgu kodu - kods, kas veiks ļaunprātīgus uzdevumus, tiek piegādāts kalpotājam tikai pēc pirmās saziņas ar kucēnu, un šī saziņa ir paslēpta no pārlūka paplašinājumiem
MarioNET īpaši satraucoši ir tas, ka tas turpina darboties fonā pēc tam, kad lietotājs aizver vietni, kurā notika uzbrukums. Kontrole beidzas, kad tīmekļa pārlūks ir aizvērts; pētnieki atrada veidu, kā to arī pārvarēt, taču tai nepieciešama lietotāja mijiedarbība, jo tā izmanto Web Push API.
Aizsardzība
Mūsdienu pārlūkprogrammās ir iespējas parādīt esošos pakalpojumu darbiniekus. Firefox lietotāji var ielādēt aptuveni: servisa darbiniekus vai aptuveni: atkļūdošanu # darbinieki un Chrome lietotāji var ielādēt hromu: // serviceworker-internals / to darīt.
Izmantojot jebkuru no šīm lapām nodrošināto funkcionalitāti, jūs varat atsaukt jebkura servisa darbinieka reģistrāciju. Firefox lietotāji vēl vairāk var atspējot servisa darbiniekus.
Ņemiet vērā, ka tas var ietekmēt to vietņu funkcionalitāti, kuras to izmanto likumīgiem mērķiem. Jums ir jāiestata preference dom.serviceWorkers.enabled, lai viltus par: konfigur.
Daži pārlūka paplašinājumi, piemēram, pārlūka Chrome un Firefox servisa darbinieka detektors, paziņo lietotājiem, kad tīmekļa lapa reģistrē pakalpojumu darbinieku.
Tagad jums : vai pārlūka izstrādātājiem būtu jāievieš papildu drošības pasākumi? (caur ZDNet)
