Πώς οι Push Notifications Μπορεί να Γίνουν Σιωπηλοί Ιοί

Μάι 18, 2026 web-security service-workers push-notifications vulnerability api-security web-platform browser-security exploitation

Η Αόρατη Απειλή που Δεν Βλέπουμε

Οι Web Push ειδοποιήσεις έχουν γίνει βασικό συστατικό των σύγχρονων web εφαρμογών. Από εργαλεία συνεργασίας σε πραγματικό χρόνο μέχρι συστήματα κρίσιμων ειδοποιήσεων, η τεχνολογία αυτή προσφέρει άμεση επικοινωνία. Όμως όταν το ίδιο σύστημα που σχεδιάστηκε για να ενημερώνει τους χρήστες γίνεται κανάλι για αόρατες επιθέσεις;

Η απάντηση βρίσκεται στο Sleeping Agent, μια ευπάθεια που εκμεταλλεύεται ένα κενό στον τρόπο που οι browsers ελέγχουν την ασφάλεια του Web Push API.

Το Πεδίο Επίθεσης

Το Web Push API διαθέτει μια σημαντική δικλείδα ασφαλείας: το userVisibleOnly: true. Αυτός ο κανόνας λειτουργεί σαν συμφωνία ανάμεσα στην εφαρμογή και τον browser, υποσχόμενος ότι κάθε push μήνυμα θα συνοδεύεται από ορατή ειδοποίηση στον χρήστη.

Η ιδέα είναι σωστή. Η υλοποίηση όμως όχι.

Έτσι λειτουργεί το Sleeping Agent: ένας κακόβουλος Service Worker λαμβάνει το push event και εκτελεί ταυτόχρονα δύο κλήσεις:

Εμφανίζει μια ειδοποίηση με το showNotification()
Την κλείνει αμέσως με το notification.close()

Η ειδοποίηση καταγράφεται στο εσωτερικό σύστημα του browsers για κλάσματα του δευτερολέπτου,然后 παύει να υπάρχει. Όμως ο browser ελέγχει αν την ειδοποίηση την έχει καταγράψει στο σύστημα του, δεν τοχε το πραγματικό της εμφάνισης. Από αυτό το μικροσκοπικό timing gap το χοτ απα, και από αυτό an af.

Read in other languages:

RU BG CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN