Una nueva investigación de seguridad “demuestra las capacidades de gran alcance que las API de navegadores modernos proporcionan a los atacantes mediante la presentación de marionet: un marco que permite a una entidad malintencionada a distancia para controlar el navegador de un visitante y abusan de sus recursos para el cálculo no deseados o nocivos operaciones, como la minería criptomoneda, de violación de contraseñas, y DDoS".
En otras palabras, API del navegador puede ser explotado para tomar el control del navegador de un visitante del sitio Web. El navegador se puede añadir a una red de bots, y más tarde se consume en diversos escenarios maliciosos.
¿Qué es marionet?
De acuerdo a el informe, el llamado marionet se basa únicamente en las API HTML5 ya disponibles, sin requerir la instalación de ningún software adicional. Marionet es diferente de botnets basadas en navegadores anteriores en su sigilo persistente y que permiten actividades maliciosas que continúan en el fondo del navegador, incluso después de cerrarlo.
Para probar este concepto, los investigadores presentaron el diseño, implementación, y la evaluación de su sistema prototipo, que es compatible con todos los principales navegadores.
Marionet está hecho de un componente en el navegador que está incrustado en un módulo de trabajador de servicio, y un sistema de mando y control remoto. Hay que tener en cuenta que marionet no necesita que el usuario instale ningún software, ya que utiliza JavaScript y se basa en las API HTML5 que se despliegan en casi cualquier escritorio o navegador móvil. El diseño potencialmente malicioso utiliza la API de Trabajadores de Servicios registrar y activar los trabajadores del servicio se ejecuta en el fondo de una página Web.
Cuando el usuario navega lejos de un sitio web, el trabajador de servicio de ese sitio web es típicamente una pausa por el navegador; A continuación, se reinicia y reactivada una vez que el dominio principal es visitado de nuevo. Sin embargo, es posible que el editor de un sitio web para mantener su trabajador del servicio de vida mediante la aplicación de sincronización periódica.
También es importante tener en cuenta que el registro de un trabajador del servicio no es visible o disponible para el usuario – el sitio web no requiere el permiso del usuario para registrar y mantener un trabajador del servicio. Adicionalmente, de manera similar a los trabajadores web, trabajadores de servicios no pueden acceder al DOM directamente. En lugar, se comunican con sus padres páginas respondiendo a los mensajes enviados a través de la postMessage interfaz, el informe destaca.
En breve, la marionet explotar es difícil de detectar por las extensiones de monitoreo de seguridad y usuarios, haciendo que el ataque altamente potente y peligroso. las extensiones del navegador son incapaces de controlar el tráfico de salida de los trabajadores de servicios. En cuanto a los usuarios, es muy poco probable para el usuario medio a notar que algo está mal (al igual que el dispositivo utilizando más recursos). Finalmente, el concepto marionet permite a los atacantes para supervisar y controlar el proceso de. Tampoco se necesita un control continuo sobre la página maliciosa que registra el trabajador de servicio. Una vez que el registro ha terminado, el trabajador establece un canal de comunicación con un servidor de comando y control separado.
¿Hay algunas mitigaciones contra marionet?
El informe también presenta diversas “estrategias de defensa” y habla sobre “las compensaciones correspondientes que aportan". Una posible mitigación sugiere la restricción o inutilización de los trabajadores de servicios, pero no es la mejor solución:
Al obligar a las restricciones, trabajadores de servicios no serán capaces de proporcionar el procesamiento en segundo plano por encima de, lo que limita significativamente las capacidades de las aplicaciones web actuales, resultando en una degradación severa 11 de la experiencia del usuario. Para mitigar este, una mejor solución sería permitir a los trabajadores del servicio de forma selectiva sólo para algunos sitios web “de confianza”, posiblemente a través de una extensión del navegador que impide el registro incondicional de los trabajadores de servicios.
Las otras soluciones incluyen el análisis del comportamiento y la detección de anomalías, que requiere el permiso del usuario para el registro y la activación de un trabajador del servicio, y la aplicación de tácticas lista blanca / del fondo editorial a “restringir el navegador, con las políticas de grano fino, de ir a buscar y el despliegue de los trabajadores del servicio”.