MarioNET-attack låter hackare styra din webbläsare, även efter att du lämnat attacksidan

Ökningen av webbteknologier öppnade nya möjligheter på Internet. Webbläsare har blivit mer kraftfulla när nya API: er landade och stöd för vissa funktioner introducerades.

En ny attack, kallad MarioNET av forskarna som upptäckte den, belyser att API: er också kan missbrukas om det inte finns några riktiga skyddsåtgärder (vilket är fallet just nu).

Attacken bygger på befintliga HTML5 API: er som alla moderna webbläsare stöder. Det kräver inte installation av programvara eller användarinteraktion, och kvarstår även efter att användaren lämnat webbsidan som attacken har sitt ursprung på.

Angriparen kan missbruka datorns resurser för alla typer av aktiviteter inklusive DDOS-attacker, krypto-gruvdrift eller lösenordssprickning.

Uppdatering : Du hittar en kritisk röst som argumenterar mot det scenario som beskrivs i forskningsuppsatsen här. Huvudpoängen med kritik är att attackmetoden förlitar sig på en funktion som kallas PeriodicSync och att den inte ingår i någon specifikation på denna punkt. Slutet

MarioNET använder servicearbetare, skript som körs åtskilda från besökta webbsidor och i bakgrunden, i attacken. Huvudtanken bakom Service Workers är att flytta vissa beräkningar till en separat tråd så att den inte blockerar eller bromsar appen eller webbsidan som användaren interagerar med.

Servicearbets livscykel är helt oberoende av sidan de skapades på. Servicearbetare har inte tillgång till DOM (Document Object Model) för webbsidans och moderbladets variabler och funktioner.

Användningen av Service Workers isolerar systemet från den ursprungliga webbplatsen, ger en kontinuerlig kontroll till angriparen och gör det svårt för användare att upptäcka vad som händer.

I synnerhet uppfyller vårt system tre viktiga mål:

(i) isolering från den besökta webbplatsen, vilket möjliggör finkornig kontroll över de använda resurserna; (ii) uthållighet, genom att fortsätta sin drift oavbrutet på bakgrunden även efter att ha stängt överordnade fliken; och (iii) undvikande, undvikande av upptäckt med webbläsarutvidgningar som försöker övervaka webbsidans aktivitet eller utgående kommunikation.

MarioNET registrerar en servicearbetare när en användare besöker en webbsida attacker kan komma från. Möjligheterna att sprida attacken är att skapa skadliga webbplatser, hacka webbplatser eller använda annonser.

Webbläsare ger lite information till användare om servicearbetare; Faktum är att webbläsare inte belyser skapandet av nya servicearbetare på webbplatser för användare. Det finns ingen varning, ingen snabbmeddelande och inte ens ett alternativ för att visa en fråga för att be om användartillstånd när servicearbetare skapas.

Den enda begäran som avslöjar att servicearbetaren finns är den första GET-begäran vid användarens första webbplatsbesök, när servicearbetaren initialt registreras. Även om en övervakningstillägg under den GET-begäran kan observera innehållet i servicearbetaren, kommer den fortfarande inte att observera någon misstänksam kod - koden som kommer att utföra de skadliga uppgifterna levereras till tjänaren först efter den första kommunikationen med Puppeteer, och denna kommunikation är dold från webbläsarextensions

Det som gör MarioNET särskilt oroande är att det fortsätter att köra i bakgrunden efter att användaren har stängt webbplatsen som attacken har sitt ursprung på. Kontrollen slutar när webbläsaren är stängd; forskarna fann också ett sätt att övervinna detta, men det kräver användarinteraktion eftersom det använder Web Push API för att göra det.

Skydd

De flesta moderna webbläsare innehåller alternativ för att visa befintliga servicearbetare. Firefox-användare kan ladda om: servicearbete eller om: felsöka # arbetare och Chrome-användare kan ladda krom: // serviceworker-internals / för att göra det.

Du kan avregistrera alla servicearbetare med hjälp av funktioner som tillhandahålls på dessa sidor. Firefox-användare kan avaktivera Service Workers helt och hållet.

Observera att detta kan påverka funktionaliteten på webbplatser som använder den för legitima syften. Du måste ställa in preferensen dom.serviceWorkers.enabled till falsk på om: config.

Vissa webbläsarutvidgningar, t.ex. Service Worker Detector för Chrome och Firefox, meddelar användare när en webbsida registrerar en Service Worker.

Nu du : Bör webbläsare utveckla ytterligare skyddsåtgärder? (via ZDNet)