Munculnya teknologi web membuka kemungkinan baru di Internet. Browser menjadi lebih kuat ketika API baru mendarat dan dukungan untuk fitur tertentu diperkenalkan.
Serangan baru, yang disebut MarioNET oleh para peneliti yang menemukannya, menyoroti bahwa API juga dapat disalahgunakan jika tidak ada perlindungan yang tepat (yang merupakan kasus saat ini).
Serangan bergantung pada API HTML5 yang ada yang didukung oleh semua browser web modern. Itu tidak memerlukan instalasi perangkat lunak atau interaksi pengguna, dan tetap ada bahkan setelah pengguna meninggalkan halaman web serangan itu berasal.
Penyerang dapat menyalahgunakan sumber daya komputer untuk semua jenis kegiatan termasuk serangan DDOS, operasi crypto-mining, atau peretas kata sandi.
Pembaruan : Anda menemukan suara kritis yang menentang skenario yang dijelaskan dalam makalah penelitian di sini. Poin utama dari kritik adalah bahwa metode serangan bergantung pada fitur yang disebut PeriodicSync dan itu bukan bagian dari spesifikasi apa pun pada saat ini. Akhir
MarioNET menggunakan Pekerja Layanan, skrip yang dijalankan terpisah dari halaman web yang dikunjungi dan di latar belakang, dalam serangan itu. Gagasan utama di balik Pekerja Layanan adalah untuk memindahkan perhitungan tertentu ke utas terpisah sehingga tidak memblokir atau memperlambat aplikasi atau halaman web yang berinteraksi dengan pengguna.
Siklus hidup Pekerja Layanan sepenuhnya independen dari halaman tempat mereka dibuat. Pekerja Layanan tidak memiliki akses ke DOM (Document Object Model) dari halaman web dan variabel halaman induk dan fungsi.
Penggunaan Pekerja Layanan mengisolasi sistem dari situs web asal, memberikan kontrol terus-menerus kepada penyerang, dan menyulitkan pengguna untuk mendeteksi apa yang sedang terjadi.
Secara khusus, sistem kami memenuhi tiga tujuan penting:
(i) isolasi dari situs web yang dikunjungi, memungkinkan kontrol yang baik atas sumber daya yang digunakan; (ii) kegigihan, dengan melanjutkan operasinya tanpa gangguan di latar belakang bahkan setelah menutup tab induk; dan (iii) pengelakan, menghindari deteksi oleh ekstensi browser yang mencoba untuk memantau aktivitas halaman web atau komunikasi keluar.
MarioNET mendaftarkan pekerja layanan saat pengguna mengunjungi serangan laman web dapat berasal. Kemungkinan untuk menyebarkan serangan termasuk membuat situs web jahat, meretas situs, atau menggunakan iklan.
Browser memberikan sedikit informasi kepada pengguna tentang Pekerja Layanan; pada kenyataannya, browser tidak menyoroti penciptaan pekerja layanan baru di situs kepada pengguna. Tidak ada peringatan, tidak ada prompt, dan bahkan tidak ada opsi untuk menampilkan prompt untuk meminta izin pengguna ketika pekerja layanan dibuat.
Satu-satunya permintaan yang mengungkapkan keberadaan pekerja layanan adalah permintaan GET awal pada saat kunjungan situs web pertama pengguna, ketika pekerja layanan didaftarkan pada awalnya. Meskipun selama GET meminta perpanjangan pemantauan dapat mengamati konten pekerja layanan, ia masih tidak akan mengamati kode yang mencurigakan — kode yang akan melakukan tugas-tugas jahat dikirimkan ke Servant hanya setelah komunikasi pertamanya dengan Dalang, dan komunikasi ini disembunyikan dari ekstensi browser
Apa yang membuat MarioNET sangat meresahkan adalah bahwa ia terus berjalan di latar belakang setelah pengguna menutup situs web tempat serangan berasal. Kontrol berakhir ketika browser web ditutup; para peneliti menemukan cara untuk mengatasi ini juga, tetapi membutuhkan interaksi pengguna karena menggunakan Web Push API untuk melakukannya.
Perlindungan
Sebagian besar browser modern menyertakan opsi untuk menampilkan Pekerja Layanan yang ada. Pengguna Firefox dapat memuat tentang: pekerja servicework atau tentang: debugging # pekerja dan pengguna Chrome dapat memuat chrome: // serviceworker-internal / untuk melakukannya.
Anda dapat membatalkan pendaftaran Pekerja Layanan yang menggunakan fungsionalitas yang disediakan pada halaman-halaman ini. Pengguna Firefox dapat menonaktifkan Pekerja Layanan sekaligus.
Perhatikan bahwa ini dapat memengaruhi fungsionalitas pada situs yang menggunakannya untuk tujuan yang sah. Anda perlu mengatur dom.serviceWorkers.en preferensi ke false pada about: config.
Beberapa ekstensi browser, mis. Pendeteksi Pekerja Layanan untuk Chrome dan Firefox, memberi tahu pengguna ketika halaman web mendaftarkan Pekerja Layanan.
Sekarang Anda : Haruskah pengembang peramban menerapkan perlindungan tambahan? (via ZDNet)
