Et nyt sikkerhedsforskning ”demonstrerer effektive funktioner, som moderne browser API'er leverer til angriberne ved at præsentere Marionet: en ramme, der tillader en fjernbetjening ondsindet enhed til at styre en besøgendes browser og misbruge sine ressourcer til uønsket beregning eller skadelige operationer, såsom cryptocurrency minedrift, adgangskode krakning, og DDoS".
Med andre ord, browser API'er kan udnyttes til at tage kontrol over en hjemmeside besøgendes browser. Browseren kan tilføjes til et botnet, og senere misbrugt i forskellige ondsindede scenarier.
Hvad er Marionet?
Ifølge rapporten, den såkaldte Marionet bygger udelukkende på allerede tilgængelige HTML5 API'er, uden at kræve installation af ekstra software. Marionet er anderledes end tidligere browser-baserede botnet i sin vedholdende og stealth, der tillader ondsindede aktiviteter at fortsætte i baggrunden af browseren selv efter lukketid den.
For at bevise dette koncept, forskerne præsenterede design, implementering, og evaluering af deres prototype-system, som er kompatibel med alle større browsere.
Marionet er lavet af en in-browser komponent, som er indlejret i en tjeneste arbejdstager modul, og en ekstern kommando og kontrolsystem. Det skal tages i betragtning, at Marionet ikke behøver brugeren til at installere noget software, fordi det udnytter JavaScript og er afhængig af HTML5 API'er, der er udsendt af næsten enhver stationær eller mobil browser. Den potentielt skadelig design bruger den Servicearbejdere API til at registrere og aktivere arbejdere service-kører i baggrunden af en webside.
Når brugeren surfer væk fra en hjemmeside, tjenesten arbejdstager af denne hjemmeside er typisk sat på pause af browseren; det bliver så genstartes og genaktiveret når den forælder domænet besøgte igen. Men, er det muligt for udgiveren af et websted for at holde sin tjeneste arbejdstager i live ved at gennemføre periodisk synkronisering.
Det er også vigtigt at bemærke, at registrering af en tjeneste arbejdstager ikke er synlig eller tilgængelig for brugeren – hjemmesiden ikke kræver brugerens tilladelse til at registrere og vedligeholde en tjeneste arbejdstager. Desuden, på samme måde som web arbejdere, servicemedarbejdere kan ikke få adgang til DOM direkte. I stedet, de kommunikerer med deres forældre websider ved at svare på beskeder, der sendes via det postMessage grænseflade, rapporten fremhæver.
Kort, den Marionet udnytte er svært at påvise ved sikkerhed overvågning udvidelser og brugere, hvilket gør angrebet meget potent og farlig. Browser udvidelser ikke er i stand til at overvåge de tjenesteudbydere arbejdstagernes udgående trafik. Som for brugere, Det er højst usandsynligt, for den gennemsnitlige bruger at lægge mærke til, at noget er galt (ligesom enheden ved hjælp af flere ressourcer). Endelig, den marionet konceptet muligt for hackere at overvåge og styre processen. er heller ikke behov for kontinuerlig kontrol over ondsindet side, der registrerer tjenesten arbejdstager. Når registreringen er færdig, arbejderen etablerer en kommunikationskanal med en separat kommando og kontrol-server.
Er der nogen afhjælpninger mod Marionet?
Rapporten præsenterer også ”forskellige forsvarsstrategier” og diskuterer ”de tilsvarende kompromiser, de bringer". En mulig afhjælpning foreslår begrænsning eller deaktivering af service-arbejdere, men det er ikke den bedste løsning:
Ved at tvinge restriktioner, service-arbejdere vil ikke være i stand til at give den ovennævnte baggrund behandling, dermed væsentligt begrænser mulighederne i moderne web-applikationer, hvilket resulterer i en alvorlig forringelse 11 af brugeroplevelsen. For at afbøde, at, en bedre løsning ville være at vælge at aktivere arbejdere tjeneste kun for nogle ”betroede” hjemmesider, eventuelt via en browser udvidelse, der forhindrer den ubetingede registrering af service-arbejdere.
De andre løsninger omfatter adfærdsanalyse og anomalisøgning, kræver brugerens tilladelse til registrering og aktivering af en tjeneste arbejdstager, og anvende whitelist / bagkatalog taktik at ”begrænse browseren, med finkornet politikker, fra at hente og indsætte arbejdere service”.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: