聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Guardio Labs 提到,该攻击名为CrossBarking,可截屏、修改浏览器设备以及账户劫持。为演示该问题,该公司表示已在 Chrome Web Store设法发布看似无害的浏览器扩展,而一旦将其安装在 Opera 上即可利用该漏洞,使其成为跨浏览器存储 (cross-browser-store) 攻击的实例。
Guardio Labs 的负责人 Nati Tal 在报告中提到,“该案例不仅凸显了生产力与安全性之间的持久冲突,还让我们窥见现代威胁行动者所使用的技术。”Opera 在2024年9月24日修复了该漏洞。但该漏洞并未 Opera 修复的第一个漏洞。
今年1月初,一个名为 “MyFlaw” 的漏洞利用合法特性 My Flow 在底层操作系统上执行任意文件。最新发生的攻击说明多个由 Opera 所有的公开可访问子域对内嵌在该浏览器中的私有 API 拥有提升后的访问权限。这些域名用于支持Opera的特定特性如 Opera Wallet、Pinboard等以及用于内部开发中的特性。
其中一些域的名称中还包含一些第三方域名,如下:
-
crypto-corner.op-test.net
-
op-test.net
-
gxc.gg
-
opera.atlassian.net
-
pinboard.opera.com
-
instagram.com
-
yandex.com
虽然沙箱逃逸确保浏览器上下文与余下的操作系统隔离,但 Guardio 的研究结果显示,浏览器扩展中的内容脚本也可被用于将恶意 JavaScript 注入权限过多的域名中并访问私有API。Tal 解释称,“内容脚本确实拥有访问 DOM(文档对象模型)的权限,包括通过增加一些元素对其进行突然变更。”
攻击者通过该访问权限能够截屏所有打开的标签,提取会话 cookie 劫持账户,甚至修改浏览器的 DoH 设置,通过攻击者控制的 DNS 服务器解析域。之后当受害者尝试访问银行或社交媒体站点时,就会发动中间人攻击,将受害者重定向到恶意站点。
该恶意扩展可在任何扩展分类中发布,包括谷歌 Chrome Web Store 在内。用户可从中下载并将其添加到自己的浏览器中,实际上是触发了该攻击。不过,执行攻击要求具有在任何网页上运行 JavaScript 的权限,尤其是能够访问私有API的域的权限。
恶意浏览器扩展一直都在渗透官方商店,更不用说对数据收集实践缺乏透明度的合法扩展,本次发现强调了在安装这些扩展前保持警惕的重要性。Tal表示,“浏览器扩展掌握着巨大能力,不管这种能力能造成或好或坏的结果。因此策略执行者必须对它们进行严密监控。当前的审计模式不起作用,我们建议通过更多的人工和持续分析方式,在批准后也对扩展活动进行监控,进行支持。另外,为开发者账户执行真实身份验证至关重要,因此只通过一封免费邮件和预付款信用卡进行注册是不够的。”
原文始发于微信公众号(代码卫士):Opera 浏览器修复严重漏洞,可泄露用户信息
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论