Web技术的兴起为Internet开辟了新的可能性。随着新API的出现和对某些功能的支持,浏览器变得越来越强大。
发现这种情况的研究人员将其称为MarioNET,这是一种新的攻击,它突显出,如果没有适当的保护措施,API也可能会被滥用(目前就是这种情况)。
该攻击依赖于所有现代Web浏览器都支持的现有HTML5 API。它不需要安装软件或用户交互,并且即使在用户离开发起攻击的网页后仍然存在。
攻击者可能将计算机的资源用于各种活动,包括DDOS攻击,加密挖掘操作或密码破解。
更新:您会发现一种批评的声音,与本文研究论文所述的情况背道而驰。批评的主要要点是攻击方法依赖于称为PeriodicSync的功能,目前还不属于任何规范。结束
MarioNET使用Service Workers来在攻击中与访问的网页分开运行并在后台运行的脚本。Service Workers的主要思想是将某些计算移到单独的线程中,以免阻塞或减慢与用户交互的应用程序或网页的速度。
Service Workers的生命周期完全独立于其创建的页面。服务人员无法访问网页的DOM(文档对象模型)以及父页面变量和函数。
木偶
Service Worker的使用将系统与原始网站隔离开来,为攻击者提供了持久的控制权,并使得用户很难检测到正在发生的事情。
特别是,我们的系统实现了三个重要目标:
(i)与所访问的网站隔离,以便对所使用的资源进行细粒度的控制;(ii)持久性,即使在关闭父选项卡之后,也可以在后台不间断地继续其操作;(iii)规避行为,避免被试图监视网页活动或传出通讯的浏览器扩展程序检测到。
当用户访问网页时,MarioNET会注册服务工作者。传播攻击的可能性包括创建恶意网站,黑客网站或使用广告。
浏览器向用户提供的关于Service Worker的信息很少;实际上,浏览器并没有向用户强调在网站上创建新的服务工作者。创建服务工作者时,没有警报,没有提示,甚至没有显示提示来询问用户权限的选项。
揭示服务工作人员存在的唯一请求是在用户首次访问网站时(服务工作人员最初注册时)的初始GET请求。尽管在该GET请求期间,监视扩展可以观察服务工作者的内容,但它仍将不会观察任何可疑代码-将会执行与恶意任务有关的代码的服务程序仅在与Puppeteer进行首次通信后才交付给Servant。该通信在浏览器扩展中是隐藏的
使MarioNET特别麻烦的是,它在用户关闭发起攻击的网站后继续在后台运行。当关闭Web浏览器时,该控件结束。研究人员也找到了一种克服此问题的方法,但是它需要使用Web Push API进行用户交互。
保护
服务人员禁用
大多数现代浏览器都包含显示现有Service Worker的选项。Firefox用户可以加载 about:serviceworkers或 about:debugging#workers,而Chrome用户可以加载chrome:// serviceworker-internals /。
您可以使用这些页面上提供的功能注销任何Service Worker。Firefox用户可能会进一步完全禁用Service Worker。
请注意,这可能会影响将其用于合法目的的网站上的功能。您需要在about:config 上将首选项dom.serviceWorkers.enabled设置为false。
某些浏览器扩展,例如Chrome和Firefox的 Service Worker检测器,会在网页注册Service Worker时通知用户。
免责声明:本文由用户上传,如有侵权请联系删除!