论文:Chrome扩展可从网站窃取明文密码

admin 2023年9月6日04:23:13评论9 views字数 1257阅读4分11秒阅读模式

论文:Chrome扩展可从网站窃取明文密码

谷歌、Cloudflare等知名网站的网页HTML源码中都以明文形式保存密码,恶意扩展可从中提取明文密码。威斯康星大学麦迪逊分校研究人员在Chrome应用商店上传了恶意扩展PoC,成功从网站源码中窃取明文密码。

问题产生的根源

由于Chrome扩展和网站元素之间缺乏安全边界,浏览器扩展对网站源码中的数据具有无限制的访问权限,因此有机会从中提取任意内容。此外,Chrome浏览器扩展可能滥用DOM API直接提取用户输入的值,绕过网站使用的混淆技术来保护用户敏感输入。

谷歌Chrome引入的Manifest V3协议被许多浏览器采用,限制了API滥用,防止浏览器扩展提取远程保存的代码,防止使用eval来实现任意代码执行。研究人员分析发现Manifest V3并未在扩展和web页面之间引入安全边界。

论文:Chrome扩展可从网站窃取明文密码

图 扩展和网站之间的安全边界

上传PoC到Chrome扩展商店

为测试谷歌的Chrome扩展商店审查过程,研究人员创建了一个可以发起密码窃取攻击的Chrome扩展,并将该扩展上传到平台。该扩展的功能是一个基于GPT的助手,可以:

  • 获取用户登录页面的HTML源码;

  • 滥用CSS选择器来选择目标输入字段,使用.value函数提取用户输入;

  • 通过元素替换使用不安全的密码字段来替换基于JS的混淆字段;

论文:Chrome扩展可从网站窃取明文密码 图 提取字段内的代码(左)和执行元素替换(右)

该扩展并不包含明显的恶意代码,因此可以绕过静态检测,并且不会从外部源提取代码,所以是支持Manifest V3的。因此,该扩展通过了审查,并被应用商店上架。

漏洞利用

实验数据发现,top 1万网站中有1100个在HTML DOM中明文保存了用户密码。其他7300个网站也易受到DOM API访问和用户数据直接提取攻击。

论文:Chrome扩展可从网站窃取明文密码 图 受影响的网站

一些知名网站缺乏安全保护的网站包括:

  • gmail.com – HTML源码中明文保存密码

  • cloudflare.com –HTML源码中明文保存密码

  • facebook.com – 通过DOM API提取用户输入

  • citibank.com –通过DOM API提取用户输入

  • irs.gov – 网页源码中明文保存SSNs

  • capitalone.com –网页源码中明文保存SSNs

  • usenix.org –网页源码中明文保存SSNs

  • amazon.com – 页面源码明文保存信用卡信息和邮政编码

论文:Chrome扩展可从网站窃取明文密码 图 Gmail和Facebook也受到用户输入提取攻击影响

研究发现有190个扩展可以直接访问密码字段,并保存了字段的内容,表明有开发者可能已经利用了该安全漏洞。

厂商回应

Amazon称,客户安全非常重要,将采取措施对用户输入进行保护,输入亚马逊网站的用户信息是安全的。此外,鼓励浏览器和扩展开发者使用亚马逊提供的服务采用安全最佳实践来保护用户数据。谷歌发言人称将开始调查这一问题。但Chrome扩展的安全问答并不认为访问密码字段是安全问题。

论文下载地址:https://arxiv.org/abs/2308.16321

原文始发于微信公众号(信息安全最新论文技术交流):论文:Chrome扩展可从网站窃取明文密码

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月6日04:23:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   论文:Chrome扩展可从网站窃取明文密码https://cn-sec.com/archives/2012049.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息