Supporto 24/7
FAQ
 Pannello di Controllo
Saldo Account:    
Le notifiche push: il pericolo silenzioso che si nasconde dietro il tuo browser

Le notifiche push: il pericolo silenzioso che si nasconde dietro il tuo browser

Mag 18, 2026 web-security service-workers push-notifications vulnerability api-security web-platform browser-security exploitation

Il pericolo nascosto che non ti aspetti

Le notifiche push sono ormai parte integrante di molte applicazioni web. Servono per collaborare in tempo reale o per inviare avvisi importanti. Ma cosa succede quando questo sistema, pensato per informare l'utente, diventa una porta d'ingresso silenziosa per attacchi persistenti?

Esiste una vulnerabilità chiamata Sleeping Agent. Sfrutta una falla temporale nel modo in cui i browser gestiscono i requisiti di sicurezza delle Web Push API.

Come funziona l'attacco

L'API prevede una misura di sicurezza: userVisibleOnly: true. Dovrebbe garantire che ogni messaggio push generi una notifica visibile. Sulla carta sembra sufficiente. Nella pratica, però, si apre uno spiraglio.

Un Service Worker malevolo può sfruttare questa lacuna. Quando riceve un evento push, esegue due azioni in rapida successione: prima mostra la notifica, poi la chiude subito dopo. Il risultato è che il browser registra la notifica nel suo database interno, ma l'utente non la vede mai. Il controllo di sicurezza passa lo stesso, perché verifica il database invece della visualizzazione effettiva.

Così si crea un canale di comunicazione invisibile e duraturo.

Perché è un problema serio

Questa vulnerabilità non si limita a superare un requisito. Colpisce l'intero modello di fiducia delle notifiche push.

Permette a un malintenzionato di mantenere un contatto costante con il browser dell'utente senza che questi se ne accorga. Basta una sola visita a un sito compromesso. Non servono installazioni o permessi aggiuntivi. Funziona su Chrome, Edge e su Safari prima della versione 26.5. Ed è facile da riprodurre.

Il funzionamento dettagliato

Il problema nasce perché il browser controlla la notifica dopo che il Service Worker ha già terminato le sue azioni. Il browser si basa su un record presente nel database, invece di verificare se la notifica è ancora visibile sullo schermo. Il tempo a disposizione è breve,但 il window è abbastanza stabile per essere sfruttato.

Cosa devono fare gli sviluppatori

Se ti occupi di applicazioni che usano le notifiche push, ci sono domande che dovresti considerarne:

  • Hai controllato il tuo Service Worker per comportamenti sospetti sulle notifiche? Se un script di terze parti lo ha compromesso, il problema diventa tuo.
  • Monitori gli eventi di apertura e chiusura delle notifiche? Può aiutare a trovare pattern anomali.
  • Verifichi la provenienza dei messaggi push? Dovresti implementare una firma criptografica per assicurarti che provengano da un server affidabile.

Le implicazioni più ampi

Questa vulnerabilità mostra una differenza importante tra ciò che la specifica W3C intende fare e ciò che i browser implementano realmente. La specifica dice che le notifiche devono essere visibili, but la prassi non lo garantisce.

Sicurezza non è solo un requisito scritto. È la modalità di verifica che ne garantisce la Wirksamkeit.

Prossimi passi

I vendor dei browser sono già a conoscenza del problema e stanno lavorando alle patch. Se gestisci sistemi in produzione:

  1. Controlla il comportamento del tuo Service Worker per eventuali pattern sospetti.
  2. Verifica criptograficamente la provenienza dei messaggi push.
  3. Aggiorna regolarmente i browser degli utenti.
  4. Rifletti su come usare le notifiche push in contesti a rischio elevato.

Le notifiche push sono ancora un strumento utile. 只 però va usato con attenzione,考虑到 le possibili falle che possono emergere.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU FR ES DE DA ZH-HANS EN