Opera网络浏览器中一个现已打补丁的安全漏洞可能会使恶意扩展程序在未经授权的情况下完全访问私人API。
Guardio Labs称,这种代号为CrossBarking的攻击可能会导致截屏、修改浏览器设置和劫持账户等行为。
为了演示这个问题,该公司说,它设法在 Chrome 网上商店发布了一个看似无害的浏览器扩展,当安装到 Opera 上时,就可以利用这个漏洞,这就是跨浏览器商店攻击的一个实例。
Guardio 实验室负责人纳提-塔尔(Nati Tal)在与《黑客新闻》共享的一份报告中说:“这一案例研究不仅凸显了生产力与安全之间的长期冲突,而且还让我们对现代威胁行为者在雷达雷达下运行时所使用的战术有了迷人的一瞥。”
在负责任的披露之后,Opera 已于 2024 年 9 月 24 日解决了这一问题。尽管如此,这并不是该浏览器第一次发现安全漏洞。
今年 1 月早些时候,出现了一个被追踪为 MyFlaw 的漏洞的详细信息,该漏洞利用名为 My Flow 的合法功能来执行底层操作系统上的任何文件。
最新的攻击技术依赖于这样一个事实,即 Opera 拥有的几个可公开访问的子域拥有访问浏览器中嵌入的私有 API 的权限。这些域用于支持 Opera 特有的功能,如 Opera 钱包、Pinboard 等,以及用于内部开发的功能。
下面列出了部分域名的名称,其中也包括某些第三方域名–crypto-corner.op-time。
- crypto-corner.op-test.net
- op-test.net
- gxc.gg
- opera.atlassian.net
- pinboard.opera.com
- instagram.com
- yandex.com
虽然沙箱技术可以确保浏览器上下文与操作系统的其他部分保持隔离,但 Guardio 的研究发现,浏览器扩展中的内容脚本可以用来向过度许可的域中注入恶意 JavaScript,从而访问专用 API。
“内容脚本确实可以访问 DOM(文档对象模型),”Tal 解释说。“这包括动态更改的能力,特别是通过添加新元素。”
有了这种访问权限,攻击者就可以对所有打开的标签页进行截图,提取会话 cookie 以劫持账户,甚至修改浏览器的 DNS-over-HTTPS (DoH) 设置,通过攻击者控制的 DNS 服务器解析域名。
当受害者试图访问银行或社交媒体网站时,它会将他们重定向到恶意的对应网站,从而为有效的中间对手(AitM)攻击创造条件。
恶意扩展可以以无害的方式发布到包括谷歌 Chrome 浏览器网络商店在内的任何附加组件目录中,用户可以从那里下载并将其添加到浏览器中,从而有效地触发攻击。然而,在任何网页上运行 JavaScript 都需要许可,尤其是那些可以访问专用 API 的域。
由于流氓浏览器扩展程序屡次渗入官方商店,更不用说一些合法的扩展程序在数据收集方面缺乏透明度,这些发现强调了在安装这些扩展程序之前谨慎行事的必要性。
“浏览器扩展程序拥有相当大的权力–无论好坏,”塔尔说。“因此,政策执行者必须对其进行严格监控。”
“目前的审查模式还不够完善;我们建议增加人力,并采用持续分析方法,对扩展程序的活动进行监控,甚至在批准后也要进行监控。此外,对开发者账户实施真实身份验证至关重要,因此仅仅使用免费电子邮件和预付费信用卡不足以进行注册。”