Η επίθεση MarioNET επιτρέπει στους hackers να ελέγχουν το πρόγραμμα περιήγησής σας, ακόμα και όταν αφήσετε τη σελίδα επίθεσης

Η άνοδος των τεχνολογιών του διαδικτύου άνοιξε νέες δυνατότητες στο Διαδίκτυο. Τα προγράμματα περιήγησης έγιναν πιο ισχυρά καθώς τα νέα API προσγειώθηκαν και εισήχθη υποστήριξη για ορισμένα χαρακτηριστικά.

Μια νέα επίθεση, που ονομάζεται MarioNET από τους ερευνητές που το ανακάλυψαν, υπογραμμίζει ότι τα APIs μπορεί επίσης να καταστρατηγηθούν αν δεν υπάρχουν σωστές διασφαλίσεις (όπως συμβαίνει τώρα).

Η επίθεση βασίζεται σε υπάρχοντα API HTML5 που υποστηρίζουν όλα τα σύγχρονα προγράμματα περιήγησης ιστού. Δεν απαιτεί την εγκατάσταση του λογισμικού ή της αλληλεπίδρασης των χρηστών και εξακολουθεί να υφίσταται ακόμη και μετά την αποχώρηση του χρήστη από την ιστοσελίδα που προκάλεσε την επίθεση.

Ο επιτιθέμενος μπορεί να καταχραστεί τους πόρους του υπολογιστή για όλες τις δραστηριότητες, συμπεριλαμβανομένων των επιθέσεων DDOS, των λειτουργιών κρυπτογράφησης ή της ράγισσης κωδικών πρόσβασης.

Ενημέρωση : Βρίσκετε μια κρίσιμη φωνή που υποστηρίζει το σενάριο που περιγράφεται στο ερευνητικό έγγραφο εδώ. Το κύριο σημείο της κριτικής είναι ότι η μέθοδος επίθεσης βασίζεται σε ένα χαρακτηριστικό που ονομάζεται PeriodicSync και ότι δεν αποτελεί μέρος οποιασδήποτε προδιαγραφής σε αυτό το σημείο. Τέλος

Το MarioNET χρησιμοποιεί Service Workers, σενάρια που τρέχουν ξεχωριστά από τις ιστοσελίδες που επισκέπτονται και στο παρασκήνιο, στην επίθεση. Η κύρια ιδέα πίσω από τους Υπεύθυνους Υπηρεσιών είναι να μετακινήσουν ορισμένους υπολογιστές σε ένα ξεχωριστό νήμα, έτσι ώστε να μην εμποδίζουν ή να επιβραδύνουν την εφαρμογή ή την ιστοσελίδα με την οποία συνεργάζεται ο χρήστης.

Ο κύκλος ζωής των Υπηρεσιών Εργασίας είναι εντελώς ανεξάρτητος από τη σελίδα στην οποία δημιουργήθηκαν. Οι υπάλληλοι υπηρεσιών δεν έχουν πρόσβαση στο DOM (Μοντέλο αντικειμένου εγγράφου) των μεταβλητών και λειτουργιών της ιστοσελίδας και της γονικής σελίδας.

Η χρήση των Υπηρεσιών Σέρβις απομονώνει το σύστημα από τον αρχικό ιστότοπο, δίνει επίμονο έλεγχο στον εισβολέα και δυσκολεύει τους χρήστες να εντοπίζουν το τι συμβαίνει.

Συγκεκριμένα, το σύστημά μας πληροί τρεις σημαντικούς στόχους:

(i) απομόνωση από τον ιστότοπο επισκέψεων, επιτρέποντας τον λεπτομερή έλεγχο των χρησιμοποιούμενων πόρων · (ii) επιμονή, συνεχίζοντας τη λειτουργία του χωρίς διακοπή στο παρασκήνιο, ακόμη και μετά το κλείσιμο της καρτέλας γονέων, και (iii) απάθεια, αποφεύγοντας την ανίχνευση από επεκτάσεις προγράμματος περιήγησης που προσπαθούν να παρακολουθήσουν τη δραστηριότητα της ιστοσελίδας ή την εξερχόμενη επικοινωνία.

Το MarioNET καταχωρεί έναν υπάλληλο της υπηρεσίας όταν ένας χρήστης επισκέπτεται τις επιθέσεις μιας ιστοσελίδας. Οι δυνατότητες διάδοσης της επίθεσης περιλαμβάνουν τη δημιουργία κακόβουλων ιστότοπων, ιστότοπων hacking ή τη χρήση διαφημίσεων.

Τα προγράμματα περιήγησης παρέχουν λίγες πληροφορίες στους χρήστες σχετικά με τους Υπηρέτες Υπηρεσιών. Στην πραγματικότητα, τα προγράμματα περιήγησης δεν υπογραμμίζουν τη δημιουργία νέων χρηστών υπηρεσιών σε ιστότοπους σε χρήστες. Δεν υπάρχει προειδοποίηση, καμία προτροπή και ούτε καν επιλογή για την εμφάνιση μιας προτροπής για να ζητήσετε άδεια χρήστη όταν δημιουργούνται υπηρεσίες.

Το μόνο αίτημα που αποκαλύπτει την ύπαρξη του εργαζόμενου στην υπηρεσία είναι το αρχικό αίτημα GET κατά τη στιγμή της πρώτης επίσκεψης του χρήστη, όταν ο υπάλληλος της υπηρεσίας αρχικά καταχωριστεί. Παρόλο που κατά τη διάρκεια αυτής της αίτησης GET μια επέκταση παρακολούθησης μπορεί να παρατηρήσει το περιεχόμενο του εργαζόμενου στην υπηρεσία, δεν θα παρατηρήσει ακόμα κανένα ύποπτο κώδικα - ο κώδικας που θα εκτελέσει τις κακόβουλες εργασίες παραδίδεται στον Υπάλληλο μόνο μετά την πρώτη επικοινωνία του με τον Puppeteer αυτή η επικοινωνία αποκρύπτεται από τις επεκτάσεις του προγράμματος περιήγησης

Αυτό που κάνει το MarioNET ιδιαίτερα ανησυχητικό είναι ότι συνεχίζει να τρέχει στο παρασκήνιο αφού ο χρήστης κλείσει τον ιστότοπο που προκάλεσε η επίθεση. Ο έλεγχος τελειώνει όταν το πρόγραμμα περιήγησης ιστού είναι κλειστό. οι ερευνητές βρήκαν έναν τρόπο να ξεπεραστούν και αυτό, αλλά απαιτεί την αλληλεπίδραση των χρηστών καθώς χρησιμοποιεί το API Web Push για να το κάνει.

ΠΡΟΣΤΑΣΙΑ

Τα περισσότερα σύγχρονα προγράμματα περιήγησης περιλαμβάνουν επιλογές για την εμφάνιση υφιστάμενων υπηρεσιών εργασίας. Οι χρήστες του Firefox ενδέχεται να φορτώσουν περίπου: τους υπεύθυνους εξυπηρέτησης πελατών ή σχετικά με: τον εντοπισμό σφαλμάτων σε # εργαζόμενους και οι χρήστες του Chrome ενδέχεται να φορτώσουν το chrome: // serviceworker-internals / για να το κάνουν.

Μπορείτε να καταργήσετε την εγγραφή οποιασδήποτε υπηρεσίας εργασίας χρησιμοποιώντας τις λειτουργίες που παρέχονται σε αυτές τις σελίδες. Οι χρήστες του Firefox ενδέχεται να απενεργοποιήσουν το Service Employers επιπλέον.

Σημειώστε ότι αυτό μπορεί να επηρεάσει τη λειτουργικότητα σε ιστότοπους που τη χρησιμοποιούν για νόμιμους σκοπούς. Πρέπει να ορίσετε την προτίμηση dom.serviceWorkers.enabled σε false για περίπου: config.

Ορισμένες επεκτάσεις του προγράμματος περιήγησης, π.χ. ανιχνευτής εργασίας για το Chrome και τον Firefox, ενημερώνουν τους χρήστες όταν μια ιστοσελίδα καταχωρεί έναν υπάλληλο υπηρεσιών.

Τώρα : Θα έπρεπε οι προγραμματιστές του προγράμματος περιήγησης να εφαρμόσουν πρόσθετες διασφαλίσεις; (μέσω ZDNet)