Una nuova ricerca sulla sicurezza “dimostra le funzionalità potenti che moderne le API del browser forniscono agli aggressori presentando marionet: un quadro che consente a un soggetto malintenzionato telecomando per controllare il browser di un visitatore e un abuso delle sue risorse per il calcolo indesiderati o nocivi operazioni, come criptovaluta mineraria, Password cracking, e DDoS".
In altre parole, API del browser possono essere sfruttate per prendere il controllo di un sito web del browser del visitatore. Il browser può essere aggiunto a una botnet, e poi abusato in vari scenari dannosi.
Che cosa è marionet?
Secondo il rapporto, il cosiddetto marionet si basa esclusivamente sulle API HTML5 già disponibili, senza richiedere l'installazione di alcun software aggiuntivo. Marionet è diverso rispetto alle precedenti botnet basate su browser nella sua furtività persistente e che consentono attività dannose di continuare sullo sfondo del browser anche dopo la chiusura.
Per dimostrare questo concetto, I ricercatori hanno presentato il progetto, implementazione, e la valutazione del loro prototipo di sistema, che è compatibile con tutti i principali browser.
Marionet è costituito da un componente nel browser che è incorporato in un modulo operaio di servizio, e un sistema di comando e controllo remoto. Si deve tenere conto del fatto che marionet non ha bisogno l'utente di installare alcun software perché utilizza JavaScript e si basa sulle API HTML5 che sono dispiegati da quasi tutti i desktop o browser mobile. Il design potenzialmente dannoso utilizza l'API di servizio dei lavoratori per registrare e attivare lavoratori dei servizi in esecuzione in background di una pagina web.
Quando l'utente accede da un sito web, l'operaio di servizio di questo sito web è in genere in pausa dal browser; viene poi riavviato e riattivato una volta che il dominio padre è visitato di nuovo. Tuttavia, è possibile che l'editore di un sito web per mantenere in vita il suo operaio di servizio mediante l'attuazione di sincronizzazione periodica.
E 'anche importante notare che la registrazione di un lavoratore servizio non è visibile o disponibile per l'utente – il sito non richiede il consenso dell'utente per registrare e mantenere un operaio di servizio. In aggiunta, analogamente ai lavoratori web, lavoratori dei servizi non possono accedere direttamente al DOM. Invece, comunicano con le loro pagine web genitore rispondendo ai messaggi inviati tramite il postMessage interfaccia, La relazione sottolinea.
In breve, il marionet exploit è difficile da rilevare da estensioni di monitoraggio di sicurezza e gli utenti, rendendo l'attacco molto potente e pericoloso. estensioni dei browser sono in grado di monitorare il traffico in uscita dei lavoratori di servizio. Per quanto riguarda gli utenti, è altamente improbabile per l'utente medio a notare che qualcosa non va (come il dispositivo utilizzando più risorse). Infine, il concetto Marionet consente agli aggressori di monitorare e controllare il processo. controllo continuo sulla pagina dannoso che registra il lavoratore servizio non è necessaria anche. Una volta che la registrazione è terminata, il lavoratore stabilisce un canale di comunicazione con un server di comando e controllo separata.
Ci sono delle mitigazioni contro marionet?
Il rapporto presenta anche “varie strategie di difesa” e discute “le corrispondenti compromessi che portano". Una possibile mitigazione suggerisce la limitazione o la disabilitazione di lavoratori dei servizi, ma non è la soluzione migliore:
Forzando restrizioni, lavoratori dei servizi non saranno in grado di fornire l'elaborazione in background di cui sopra, limitando così in modo significativo le capacità di applicazioni web contemporanee, determinando una riduzione del grave 11 di user experience. Per mitigare tale, una soluzione migliore potrebbe essere quella di consentire in modo selettivo i lavoratori del servizio solo per alcuni siti web “fidati”, eventualmente tramite un'estensione del browser che impedisce la registrazione incondizionata dei lavoratori dei servizi.
Le altre soluzioni includono l'analisi comportamentale e rilevamento delle anomalie, che richiede l'autorizzazione dell'utente per la registrazione e l'attivazione di un operaio di servizio, e l'applicazione di tattiche whitelist / backlist a “limitare il browser, con le politiche a grana fine, dal recupero e la distribuzione di lavoratori dei servizi”.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: