Tichý útok skrz web push notifikace: Jak se mohou proměnit v neviditelnou hrozbu

Kvě 18, 2026 web-security service-workers push-notifications vulnerability api-security web-platform browser-security exploitation

Tichý útok, který nikdo nečeká

Push notifikace dnes patří k běžným nástrojům většiny moderních webových aplikací. Slouží k rychlému předávání zpráv, upozornění nebo spolupráci v reálném čase. Jenže právě tato funkce se může stát neviditelnou vstupní branou pro útočníky.

Za problémem stojí zranitelnost nazvaná Sleeping Agent. Ta využívá mezeru v tom, jak prohlížeče kontrolují dodržování bezpečnostních pravidel Web Push API.

Kde útok začíná

Web Push API obsahuje ochranu v podobě parametru userVisibleOnly: true. Ten má zajistit, že každá příchozí push zpráva se uživateli zobrazí jako viditelná notifikace. V teorii to dává smysl. V praxi se ale dá tento požadavek obejít.

Útočník vloží do Service Workeru kód, který po přijetí push události spustí dvě akce za sebou. Nejprve zobrazí notifikaci pomocí showNotification(), vzápětí ji ale hned zavře pomocí notification.close(). Notifikace se tak objeví jen na zlomek vteřiny v interní databázi prohlížeče, aniž by ji uživatel stačil vnímat.

Problém spočívá v tom, že prohlížeče kontrolují přítomnost notifikace v databázi,而不是 v reálném zobrazení. Ček check tak vždy projde, i když uživatel žáň

Read in other languages:

RU BG EL UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN