Amenințarea invizibilă care poate compromite aplicațiile web

Web Push notifications au devenit o parte esențială a aplicațiilor moderne. De la instrumente de colaborare la sisteme de alertă, ele ajută utilizatorii să primească informații în timp real. Însă această funcționalitate poate fi transformată într-un canal discret de comunicare, fără ca utilizatorul să-și dea seama.

Cum funcționează vulnerabilitatea Sleeping Agent

Totul pornește de la o regulă simplă impusă de browsere: fiecare mesaj push trebuie să declanșeze o notificare vizibilă. Această cerință este menită să protejeze utilizatorii de abuzuri.

Problema apare atunci când un Service Worker malițios încalcă această regulă. El apelează imediat showNotification() pentru a crea o notificare, apoi notification.close() pentru a o șterge.

Browserul verifică existența notificării în baza sa de date internă, nu pe ecranul utilizatorului. Astfel, verificarea trece, iar atacatorul păstrează canalul de comunicare activ, fără nicio urmă vizibilă.

De ce este îngrijorătoare această vulnerabilitate

Această tehnică nu doar bypass-ează o regulă. Ea slăbește întreaga încredere în sistemul Web Push.

• Persistență discretă: Atacatorii pot menține o conexiune pe termen lung, fără ca utilizatorul să observe. Nu este nevoie de instalare de malware — doar vizitarea unui site compromis.
• Eludare a regulilor de conformitate: Multe frameworks de securitate presupun că notificările sunt vizibile. Această atac depășește aceva.
• Impact pe mai multe browsere: Vulnerabilitatea afectează Chrome, Edge și versiuni mai vechi de Safari.
• Acces ușor: Atacul poate fi recreat în câteva minute, fără instrumente sofisticate.

Cum se produce atacul tehnic

Vulnerabilitatea apare din cauza momentului în care browserul verifică cerința de S

Cum se produce atacul tehnic

Vulnerabilitatea apare din cauza momentului în care browserul verifică cerința de S