今天小編分享的互聯網經驗:Chrome擴展可從網站竊取明文密碼,歡迎閲讀。
研究人員發現谷歌、Cloudflare 等知名網站的網頁 HTML 源碼中都以明文形式保存密碼,惡意擴展可從中提取明文密碼。威斯康星大學麥迪遜分校研究人員在 Chrome 應用商店上傳了惡意擴展 PoC,成功從網站源碼中竊取明文密碼。
問題產生的根源
由于 Chrome 擴展和網站元素之間缺乏安全邊界,浏覽器擴展對網站源碼中的數據具有無限制的訪問權限,因此有機會從中提取任意内容。此外,Chrome 浏覽器擴展可能濫用 DOM API 直接提取用户輸入的值,繞過網站使用的混淆技術來保護用户敏感輸入。
谷歌 Chrome 引入的 Manifest V3 協定被許多浏覽器采用,限制了 API 濫用,防止浏覽器擴展提取遠程保存的代碼,防止使用 eval 來實現任意代碼執行。研究人員分析發現 Manifest V3 并未在擴展和 web 頁面之間引入安全邊界。
圖 擴展和網站之間的安全邊界
上傳 PoC 到 Chrome 擴展商店
為測試谷歌的 Chrome 擴展商店審查過程,研究人員創建了一個可以發起密碼竊取攻擊的 Chrome 擴展,并将該擴展上傳到平台。該擴展的功能是一個基于 GPT 的助手,可以:
· 獲取用户登錄頁面的 HTML 源碼;
· 濫用 CSS 選擇器來選擇目标輸入資料欄,使用 .value 函數提取用户輸入;
· 通過元素替換使用不安全的密碼資料欄來替換基于 JS 的混淆資料欄;
圖 提取資料欄内的代碼(左)和執行元素替換(右)
該擴展并不包含明顯的惡意代碼,因此可以繞過靜态檢測,并且不會從外部源提取代碼,所以是支持 Manifest V3 的。因此,該擴展通過了審查,并被應用商店上架。
漏洞利用
随後的實驗數據發現,前 1 萬個網站中有 1100 個在 HTML DOM 中明文保存了用户密碼。其他 7300 個網站也易受到 DOM API 訪問和用户數據直接提取攻擊。
圖 受影響的網站
一些知名網站缺乏安全保護的網站包括:
· gmail.com – HTML 源碼中明文保存密碼
· cloudflare.com – HTML 源碼中明文保存密碼
· facebook.com – 通過 DOM API 提取用户輸入
· citibank.com –通過 DOM API 提取用户輸入
· irs.gov – 網頁源碼中明文保存 SSNs
· capitalone.com –網頁源碼中明文保存 SSNs
· usenix.org –網頁源碼中明文保存 SSNs
· amazon.com – 頁面源碼明文保存信用卡信息和郵政編碼
圖 Gmail 和 Facebook 也受到用户輸入提取攻擊影響
研究發現有 190 個擴展可以直接訪問密碼資料欄,并保存了資料欄的内容,表明有開發者可能已經利用了該安全漏洞。
廠商回應
Amazon 稱,客户安全非常重要,将采取措施對用户輸入進行保護,輸入亞馬遜網站的用户信息是安全的。此外,鼓勵浏覽器和擴展開發者使用亞馬遜提供的服務采用安全最佳實踐來保護用户數據。谷歌發言人稱将開始調查這一問題。但 Chrome 擴展的安全問答并不認為訪問密碼資料欄是安全問題。
論文下載地址:https://arxiv.org/abs/2308.16321
