Web teknolojilerinin yükselişi internette yeni olanaklar yarattı. Tarayıcılar yeni API'ler indirip belirli özellikler için destek sunuldukça daha güçlü hale geldi.
Bunu keşfeden araştırmacılar tarafından MarioNET adlı yeni bir saldırı, uygun koruma önlemleri mevcut değilse API'lerin de kötüye kullanılabileceğini vurguluyor.
Saldırı, tüm modern web tarayıcılarının desteklediği mevcut HTML5 API'lerine dayanmaktadır. Yazılımın veya kullanıcı etkileşiminin kurulmasını gerektirmez ve kullanıcı, saldırının kaynaklandığı web sayfasını terk ettikten sonra bile devam eder.
Saldırgan, DDOS saldırıları, kripto incelemesi işlemleri veya şifre kırma işlemleri dahil olmak üzere her türlü etkinlik için bilgisayarın kaynaklarını kötüye kullanabilir.
Güncelleme : Buradaki araştırma makalesinde açıklanan senaryoya karşı çıkan eleştirel bir ses buluyorsunuz. Eleştirinin asıl amacı, saldırı yönteminin PeriodicSync adlı bir özelliğe dayanması ve bu noktada herhangi bir belirtimin parçası olmamasıdır. Son
MarioNET, saldırıda, ziyaret edilen web sayfalarından ve arka plandan ayrı çalışan komut dosyaları olan Servis Çalışanlarını kullanır. Servis Çalışanlarının arkasındaki ana fikir, belirli hesaplamaları ayrı bir iş parçacığına taşımak, böylece kullanıcının etkileşime gireceği uygulamayı veya web sayfasını engellememesi veya yavaşlatmamasıdır.
Servis Çalışanlarının yaşam döngüsü, oluşturuldukları sayfadan tamamen bağımsızdır. Servis Çalışanları, web sayfasının DOM (Belge Nesne Modeli) ve üst sayfa değişkenleri ve işlevlerine erişemez.
Servis Çalışanlarının kullanımı, sistemi kaynak web sitesinden ayırır, saldırgana sürekli kontrol sağlar ve kullanıcıların neler olup bittiğini tespit etmelerini zorlaştırır.
Özellikle, sistemimiz üç önemli hedefi yerine getirir:
(i) kullanılan web sitelerinin izolasyonu; (ii) ana sekmeyi kapattıktan sonra bile kesintisiz olarak arka plan üzerinde çalışmasına devam ederek devam etme; ve (iii) web sayfasının etkinliğini veya giden iletişimi izlemeye çalışan tarayıcı uzantılarıyla tespit edilmekten kaçınılması.
MarioNET bir hizmet çalışanı kaydeder, bir kullanıcı bir web sayfasını ziyaret ettiğinde ortaya çıkabilecek saldırılar kaynaklı olabilir. Saldırıyı yayma olasılıkları arasında kötü amaçlı web siteleri oluşturmak, siteleri kırmak veya reklamları kullanmak sayılabilir.
Tarayıcılar, Hizmet İşçileri hakkında kullanıcılara çok az bilgi sağlar; Aslında, tarayıcılar sitelerde kullanıcılara yeni servis çalışanlarının oluşturulmasını vurgulamamaktadır. Uyarı yok, bilgi istemi yok ve servis çalışanları oluşturulduğunda kullanıcı izni istemek için bilgi istemi görüntüleme seçeneği bile yok.
Servis çalışanının varlığını ortaya koyan tek talep, servis çalışanı ilk kez kayıt yaptırdığında, kullanıcının ilk web sitesi ziyareti sırasındaki ilk GET isteğidir. Bu GET talebi sırasında, bir izleme uzatması servis çalışanının içeriğini gözlemleyebilse de, şüpheli herhangi bir kodu gözlemlemeyecek olsa da - kötü niyetli görevleri gerçekleştirecek kod yalnızca Kuklacı ile ilk iletişiminden sonra Hizmetkar'a teslim edilir ve bu iletişim tarayıcı uzantılarından gizlendi
MarioNET'i özellikle rahatsız edici kılan şey, kullanıcının saldırının gerçekleştirdiği web sitesini kapattıktan sonra arka planda çalışmaya devam etmesidir. Web tarayıcısı kapalı olduğunda kontrol sona erer; Araştırmacılar da bunun üstesinden gelmenin bir yolunu buldular, ancak bunu yapmak için Web Push API'sini kullanan kullanıcı etkileşimi gerektiriyor.
Koruma
Çoğu modern tarayıcı, mevcut Servis Çalışanlarını görüntüleme seçeneklerini içerir. Firefox kullanıcıları şunları yükleyebilir : serviceworkers veya about: debugging # worker ve Chrome kullanıcıları chrome: // serviceworker-internals / bunu yapabilir.
Bu sayfalarda sağlanan işlevleri kullanarak herhangi bir Hizmet İşçisinin kaydını silebilirsiniz. Firefox kullanıcıları ayrıca Servis Çalışanlarını tamamen devre dışı bırakabilir.
Bunun, meşru amaçlar için kullanan sitelerde işlevselliği etkileyebileceğini unutmayın. Dom.serviceWorkers.enabled tercihini, about: config olarak yanlış yapmak için ayarlamanız gerekir.
Bazı tarayıcı uzantıları, örneğin Chrome ve Firefox için Service Worker Detector, bir web sayfası bir Servis Çalışanı kaydettiğinde kullanıcıları uyarır.
Şimdi Siz : Tarayıcı geliştiricileri ek güvenlik önlemleri almalı mı? (ZDNet aracılığıyla)
