网络技术的兴起为互联网开辟了新的可能性。随着新的API的出现和一些功能的支持,浏览器变得越来越强大。
【资料图】
发现这种情况的研究人员称之为“提线木偶”,这是一种新的攻击,它强调了API在没有适当保护措施的情况下可能被滥用(目前就是这种情况)。
攻击依赖于所有现代网络浏览器支持的现有HTML5应用编程接口。它不需要安装软件,也不需要用户交互,即使用户离开攻击网页,它仍然存在。
攻击者可能会将计算机资源用于各种活动,包括DDOS攻击、加密挖掘操作或密码破解。
更新:你会发现一个批评的声音,这与这篇研究论文中描述的情况背道而驰。批评的要点是攻击方法依赖于名为PeriodicSync的函数,目前不属于任何规范。目标
提线木偶使用服务工作者来运行脚本,这些脚本在攻击中与被访问的网页分离,并在后台运行。Service Workers的主要思想是将一些计算移到单独的线程中,以免阻塞或减慢应用程序或网页与用户交互的速度。
服务人员的生命周期完全独立于他们创建的页面。服务人员不能访问网页的DOM(文档对象模型)和父页面的变量和函数。
木偶
Service Worker的使用将系统与原始网站分开,为攻击者提供了持久的控制,并使用户很难检测到正在发生的事情。
特别是,我们的系统实现了三个重要目标:
与所访问的网站隔离,以便以细粒度方式控制所使用的资源;(ii)持久性,即使在父选项卡关闭后,其操作也可以在后台持续进行;(三)避免被试图监控网页活动或传出通信的浏览器扩展检测到。
当用户访问网页时,提线木偶注册一个服务人员。传播攻击的可能性包括创建恶意网站、黑客攻击网站或使用广告。
浏览器向用户提供的关于服务人员的信息很少。事实上,浏览器并不强调在网站上创建新的服务人员。创建服务人员时,没有警报,没有提示,甚至没有显示提示以请求用户许可的选项。
揭示服务人员存在的唯一请求是用户第一次访问网站时的初始GET请求(服务人员初始注册时)。虽然监控扩展可以在GET请求期间观察服务工作人员的内容,但它不会观察到任何可疑代码——将执行与恶意任务相关的代码的服务程序只会在与Puppeteer进行第一次通信后交付给Servant。该通信隐藏在浏览器扩展中。
让提线木偶特别麻烦的是,在用户关闭发起攻击的网站后,它还在后台继续运行。当网页浏览器关闭时,控制项会结束。研究人员也找到了克服这个问题的方法,但是需要使用Web Push API进行用户交互。
保护
服务人员残疾。
大多数现代浏览器都包含显示现有服务人员的选项。Firefox用户可以加载about:serviceworkers或about:debug # workers,而Chrome用户可以加载Chrome://service workers-interest/。
您可以使用这些页面上提供的功能注销任何服务人员。火狐用户可能会进一步完全禁用服务工作者。
请注意,这可能会影响出于合法目的使用它的网站的功能。您需要在关于:配置中将首选项dom.serviceWorkers.enabled设置为false。
一些浏览器扩展,如Chrome和火狐的服务工作者检测器,在网页注册服务工作者时通知用户。
标签:
Copyright © 2015-2023 华夏兽药网版权所有 备案号:琼ICP备2022009675号-37 联系邮箱:435 227 67@qq.com
