Een nieuw veiligheidsonderzoek “demonstreert de krachtige mogelijkheden die de moderne browser API's te verstrekken aan aanvallers door de presentatie van Marionet: een kader dat het mogelijk maakt een op afstand kwaadaardige entiteit browser van een bezoeker controleren en misbruiken haar middelen voor ongewenste berekening of schadelijke activiteiten, zoals cryptogeld mijnbouw, wachtwoord kraken, en DDoS".
Met andere woorden, browser API's kunnen worden benut om de controle van de browser van een websitebezoeker nemen. De browser kan worden toegevoegd aan een botnet, en later misbruikt in diverse kwaadaardige scenario's.
Wat is Marionet?
Volgens het verslag, de zogenaamde marionet zich uitsluitend baseert op de reeds beschikbare HTML5 APIs, zonder dat de installatie van extra software. Marionet is anders dan de vorige botnets browser-gebaseerde in zijn aanhoudende en stealth waarmee kwaadaardige activiteiten, zelfs na het sluiten dat het doorgaat op de achtergrond van de browser.
Om dit concept te bewijzen, presenteerden de onderzoekers het ontwerp, implementatie, en evaluatie van hun prototype systeem, die compatibel is met alle belangrijke browsers.
Marionet wordt gemaakt van een in-browser component die is ingebed in een dienst werknemer module, en een op afstand commandovoeringssysteem. Men moet er rekening mee worden gehouden dat Marionet de gebruiker niet hoeft geen software te installeren, omdat het JavaScript maakt gebruik van en vertrouwt op HTML5 API's die worden ingezet door bijna elke desktop of mobiele browser. Het potentieel kwaadaardige ontwerp maakt gebruik van de Bedienend personeel API om te registreren en activeren van service werknemers draaien op de achtergrond van een webpagina.
Wanneer de gebruiker bladert de buurt van een website, de dienst werknemer van die website wordt meestal onderbroken door de browser; het wordt vervolgens opnieuw gestart en geactiveerd zodra de bovenliggende domein opnieuw wordt bezocht. Echter, is het mogelijk dat de uitgever van een website om haar dienstverlening werknemer in leven door de uitvoering van periodieke synchronisatie te houden.
Het is ook belangrijk op te merken dat de registratie van een dienst werknemer is niet zichtbaar of beschikbaar voor de gebruiker – de website niet toestemming van de gebruiker nodig heeft om te registreren en een dienst werknemer behouden. Bovendien, vergelijkbaar met web werknemers, service werknemers kunnen niet rechtstreeks toegang tot de DOM. Plaats, ze communiceren met hun ouders webpagina's door te reageren op berichten die worden verzonden via de postMessage -interface, Het verslag belicht.
Kortom, de Marionet exploit is moeilijk te detecteren zijn door security monitoring extensies en gebruikers, het maken van de aanval zeer krachtig en gevaarlijk. Browser extensies zijn niet in staat om uitgaand verkeer de dienst werknemers te monitoren. Zoals voor gebruikers, Het is hoogst onwaarschijnlijk voor de gemiddelde gebruiker op te merken dat er iets mis (zoals het apparaat met behulp van meer middelen). Eindelijk, de Marionet concept maakt het mogelijk aanvallers te volgen en te controleren het proces. Continue controle over de kwaadaardige pagina die de dienst werknemer registreert is ook niet nodig. Zodra de registratie is voltooid, de werknemer wordt een communicatiekanaal met een aparte command and control-server.
Zijn er geen oplossingen tegen Marionet?
Het rapport presenteert ook “verschillende defensie strategieën” en bespreekt “de bijbehorende afwegingen zij brengen". Een mogelijke beperking suggereert dat de beperking of het onmogelijk maken van de dienst werknemers, maar het is niet de beste oplossing:
Door het forceren van beperkingen, service werknemers zullen niet in staat zijn om het boven de achtergrond verwerking, zo een aanzienlijke beperking van de mogelijkheden van de hedendaagse web applicaties, resulterend in een ernstige verslechtering 11 van user experience. Om dat te verzachten, een betere oplossing zou zijn om selectief te schakelen dienst werknemers alleen voor een aantal “vertrouwde” websites, eventueel via een browser extensie die de onvoorwaardelijke registratie van service werknemers voorkomt.
De andere oplossingen omvatten gedragsanalyse en anomaliedetectie, vereisen toestemming van de gebruiker voor de registratie en activering van een dienst werknemer, en het toepassen van whitelist / backlist tactieken om “beperken de browser, met fijnkorrelig beleid, van het ophalen en het inzetten van service werknemers”.