Une nouvelle recherche sur la sécurité «démontre les capacités puissantes que les API de navigateurs modernes offrent aux attaquants en présentant Marionet: un cadre qui permet à une entité malveillante distante de contrôler le navigateur d'un visiteur et d'abus de ses ressources pour le calcul indésirables ou des opérations dangereuses, tels que l'extraction de crypto-monnaie, mot de passe de craquage, et DDoS".
En d'autres termes, API de navigateur peuvent être exploitées pour prendre le contrôle du navigateur d'un visiteur du site. Le navigateur peut être ajouté à un botnet, et abusé plus tard dans divers scénarios malveillants.
Qu'est-ce que Marionet?
Selon le rapport, le soi-disant Marionet repose uniquement sur les API HTML5 déjà disponibles, sans nécessiter l'installation d'un logiciel supplémentaire. Marionet est différent de celui des réseaux de zombies à base de navigateur précédent dans sa persistance et furtif qui permettent aux activités malveillantes de poursuivre en arrière-plan du navigateur, même après sa fermeture.
Pour prouver ce concept, les chercheurs ont présenté la conception, la mise en oeuvre, et l'évaluation de leur système prototype, qui est compatible avec tous les principaux navigateurs.
Marionet est constitué d'un composant dans le navigateur qui est intégré dans un module de travail de service, et un système de commande et de contrôle à distance. Il doit être pris en compte que Marionet n'a pas besoin de l'utilisateur d'installer un logiciel car il utilise JavaScript et repose sur des API HTML5 qui sont déployées par presque tout ordinateur de bureau ou d'un navigateur mobile. La conception potentiellement malveillant utilise l'API des techniciens en travail pour enregistrer et activer les travailleurs de service en cours d'exécution en arrière-plan d'une page Web.
Lorsque l'utilisateur navigue loin d'un site Web, le travailleur des services de ce site Web est généralement interrompue par le navigateur; il est ensuite redémarré et réactivée une fois que le domaine parent est visité à nouveau. Cependant, il est possible pour l'éditeur d'un site Web pour garder son agent de service en vie en mettant en œuvre la synchronisation périodique.
Il est également important de noter que l'enregistrement d'un travailleur de service n'est pas visible ou accessible à l'utilisateur – le site ne nécessite pas l'autorisation de l'utilisateur d'enregistrer et de maintenir un travailleur de service. En outre, De même pour les travailleurs web, les travailleurs de service ne peuvent pas accéder directement au DOM. Plutôt, ils communiquent avec leurs pages Web parent en répondant aux messages envoyés par le postMessage interface, le rapport souligne.
En bref, le Marionet exploit est difficile à détecter par des extensions de surveillance de la sécurité et les utilisateurs, rendant l'attaque très puissant et dangereux. Les extensions de navigateur ne sont pas capables de surveiller le trafic sortant des travailleurs de services. En ce qui concerne les utilisateurs, il est très peu probable pour l'utilisateur moyen de remarquer que quelque chose ne va pas (comme le dispositif en utilisant plus de ressources). Enfin, le concept de Marionet permet aux pirates de surveiller et de contrôler le processus. un contrôle continu sur la page malicieuse qui enregistre le travailleur de service est également pas nécessaire. Une fois l'inscription terminée, le travailleur établit un canal de communication avec un serveur de commande et de contrôle séparé.
Y at-il des atténuations contre Marionet?
Le rapport présente également « diverses stratégies de défense » et « discuteles compromis correspondants qu'ils apportent". Une atténuation possible suggère la restriction ou la désactivation des travailleurs de services, mais ce n'est pas la meilleure solution:
En forçant les restrictions, les travailleurs de service ne seront pas en mesure de fournir ce qui précède le traitement de fond, ce qui limite considérablement les capacités des applications web contemporaines, résultant en une dégradation sévère 11 de l'expérience utilisateur. Pour atténuer ce, une meilleure solution serait de permettre sélectivement les travailleurs des services uniquement pour certains sites « de confiance », éventuellement via une extension de navigateur qui empêche l'enregistrement inconditionnel des travailleurs de services.
Les autres solutions comprennent l'analyse comportementale et la détection des anomalies, nécessitant l'autorisation de l'utilisateur pour l'enregistrement et l'activation d'un travailleur de service, et appliquer des tactiques whitelist / backlist à « limiter le navigateur, avec les politiques à grains fins, de l'extraction et le déploiement de travailleurs de service ».
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: