Guardio Labs 最近发现并披露了 Opera 浏览器基础设施中的一个严重漏洞,该漏洞可能允许恶意扩展利用私有 API,从而未经授权访问敏感功能,例如屏幕截图、设置修改和潜在的帐户劫持。
此次攻击名为“ CrossBarking ”,表明启用第三方扩展程序的风险,尤其是那些看似无害的产品,例如流行的“小狗主题”扩展程序,这是 Guardio 为验证概念而制作的。
Opera 此后修补了该漏洞,缓解了这种新型跨浏览器扩展程序攻击媒介。
Guardio 实验室负责人 Nati Tal 领导了对这一漏洞的调查,该调查基于之前的“MyFlaw”漏洞,该漏洞凸显了跨平台浏览器安全性中的类似问题。
Opera 中最近的漏洞允许 Chrome Web Store 中的恶意扩展程序访问 Opera 的私有 API,这些 API 通常保留用于内部浏览器功能,例如 Pinboard 功能,该功能使用这些 API 是为了方便用户。
这些 API 在启用高级浏览器功能的同时,如果通过外部来源利用,也会为恶意行为者创建潜在的入口点。
Nati 通过在 Chrome Web Store 上发布一个看似无害的扩展程序来演示此漏洞。这个“可爱”的应用程序伪装成一个在每个网页上添加小狗图像的扩展程序,一旦安装在 Opera 中,就可以绕过安全控制并操纵浏览器环境。
此类漏洞可让攻击者注入恶意代码并操纵设置,甚至更改浏览器的 DNS over HTTPS 配置,以通过恶意 DNS 服务器重定向流量。此概念验证凸显了跨浏览器扩展的安全挑战,尤其是涉及第三方来源时。
https://labs.guard.io/crossbarking-exploiting-a-0-day-opera-vulnerability-with-a-cross-browser-extension-store-attack-db3e6d6e6aa8Opera 的回应
Opera 软件公司承认了该漏洞的存在,并强调,虽然这种类型的攻击需要用户绕过警告并安装来自未经验证来源的扩展程序,但它仍然存在很大的风险。
Opera 的人工审核流程专门适用于其自有附加组件商店内的扩展程序,通常可以防止未经审查的扩展程序绕过安全协议。但是,用户可以从 Chrome 网上商店安装扩展程序,而 Opera 无法直接监督这些扩展程序。
Opera 与 Guardio 合作,迅速解决了该漏洞,并于上个月部署了修复程序。Opera 向用户保证,在补丁发布之前没有发生过已知的漏洞利用案例。该公司还承诺加强审查流程,以限制未来此类漏洞的发生,并认识到在跨浏览器生态系统中平衡生产力与强大安全性的持续挑战。
风险和建议
尽管 Opera 迅速采取了缓解措施,但由于跨浏览器扩展程序的基本设计和对第三方来源的依赖,仍然存在残余风险。
允许用户从 Chrome Web Store 安装扩展程序(该应用商店采用自动和手动审核相结合的方式)会引入一层暴露,因为恶意扩展程序仍然可以通过代码混淆或延迟激活策略逃避检测。
此外,Opera 依赖私有 API 来支持 Pinboards 和 Wallet 等独特功能,这意味着如果未来出现漏洞,这些强大的接入点仍是潜在的攻击媒介。这种设置对用户施加了一定程度的安全责任,他们必须留意有关第三方扩展的警告,并定期检查已安装的附加组件是否存在可疑行为。
正如 Guardio 的概念证明所示,即使看似无害的扩展也可能带有隐藏的漏洞,凸显了跨浏览器生态系统中持续存在复杂攻击的风险。
对于 Opera 用户,Guardio 建议:
-
仅从 Opera 的附加组件商店安装扩展程序,以受益于公司的手动审查流程。
-
避免使用具有过多权限的扩展,并在安装时始终检查所请求的权限。
-
确保频繁更新浏览器,以便在新补丁发布时保持受保护。
原文始发于微信公众号(网络研究观):Opera 浏览器易受通过恶意扩展程序发起的跨浏览器攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论