安全研究員發(fā)現(xiàn)了兩個(gè)未修復(fù)漏洞影響內(nèi)嵌在多款主流瀏覽器中的擴(kuò)展系統(tǒng),如火狐、Safari和所有跟Chromium相關(guān)的瀏覽器如Chrome、Opera等。
攻擊者可利用這些漏洞暴露用戶所安裝的擴(kuò)展,準(zhǔn)確率為100%。攻擊者可利用擴(kuò)展信息判斷出使用VPN或Tor流量的匿名用戶或者創(chuàng)建廣告資料。
第一個(gè)漏洞影響使用廣泛的WebExtensions API
西班牙德烏斯托商業(yè)大學(xué)的兩名研究人員和法國(guó)研究中心Enrecom的一名研究人員發(fā)現(xiàn)了這些漏洞。第一個(gè)漏洞影響跟基于Chromium瀏覽器(如Chrome、Opera、Yandex Browser和Comodo Dragon)的擴(kuò)展系統(tǒng)有關(guān)。
這個(gè)擴(kuò)展系統(tǒng)即WebExtentions API也用于新版的火狐、Edge、Vivaldi和Brave瀏覽器中。雖然研究人員并未在這些瀏覽器中測(cè)試,但他們認(rèn)為它們也受影響。
這個(gè)WebExtensions API保護(hù)瀏覽器免受攻擊者列出所安裝擴(kuò)展帶來(lái)的風(fēng)險(xiǎn)。攻擊者使用在每個(gè)擴(kuò)展中所包含的以manifest.json文件形式存在的訪問(wèn)控制設(shè)置列出用戶所安裝的擴(kuò)展。這個(gè)文件阻止網(wǎng)站檢查任意擴(kuò)展的內(nèi)部文件和資源,除非對(duì)manifest.json文件進(jìn)行了特別配置。
針對(duì)WebExtensions擴(kuò)展的時(shí)序側(cè)信道攻擊
研究人員表示,他們發(fā)現(xiàn)了“針對(duì)訪問(wèn)控制設(shè)置驗(yàn)證的時(shí)序側(cè)信道攻擊”。他們發(fā)現(xiàn)使用Chromium WebExtensions API的瀏覽器在響應(yīng)來(lái)自為惡意擴(kuò)展存儲(chǔ)在本地的文件的網(wǎng)站請(qǐng)求時(shí)耗費(fèi)的時(shí)間要比合法但路徑不對(duì)的擴(kuò)展稍長(zhǎng)。
1
2
chrome-extension://[fakeExtID]/[fakePath]
chrome-extension://[realExtID]/[fakePath]
如此,研究人員就可以通過(guò)一系列針對(duì)目標(biāo)的雙重請(qǐng)求并記錄瀏覽器的響應(yīng)時(shí)間來(lái)推斷出用戶瀏覽器中所安裝的是哪個(gè)擴(kuò)展。這種方法適用于Chrome、Opera、Yandex Browser和Comodo Dragon。
老舊的火狐擴(kuò)展系統(tǒng)也受影響
火狐也易受攻擊。該瀏覽器目前是從老舊的基于XML的擴(kuò)展API轉(zhuǎn)向Chromium友好的WebExtensions API。由于后者尚處于開(kāi)發(fā)階段,因此開(kāi)發(fā)人員并未進(jìn)行測(cè)試,不過(guò)他們表示老舊的附件API也易受這種攻擊的影響。另外,由于火狐會(huì)在從虛假擴(kuò)展請(qǐng)求文件時(shí)會(huì)引發(fā)特殊錯(cuò)誤,因此針對(duì)火狐的攻擊更加準(zhǔn)確。
第二個(gè)漏洞URI泄露影響Safari
研究人員發(fā)現(xiàn)的第二漏洞是URI泄露,它影響Safaride 擴(kuò)展模型。這些擴(kuò)展并不會(huì)使用manifest.json文件來(lái)限制對(duì)擴(kuò)展文件的訪問(wèn)權(quán)限,而是會(huì)為每個(gè)瀏覽器會(huì)話生成一個(gè)隨機(jī)的URL,只有用戶在使用瀏覽器的時(shí)候才能訪問(wèn)。
研究人員指出可通過(guò)多種方法泄露必要數(shù)據(jù)猜測(cè)出這些隨機(jī)URL。研究表示,可將擴(kuò)展的URL泄露在45%的測(cè)試擴(kuò)展中。
漏洞未修復(fù)
研究人員表示,“我們負(fù)責(zé)任地披露了研究成果,而現(xiàn)在我們正跟多個(gè)瀏覽器和擴(kuò)展的開(kāi)發(fā)人員討論提出正確的應(yīng)對(duì)措施以緩解存在于當(dāng)前和未來(lái)版本中的這些攻擊。”
研究人員在題為《擴(kuò)展崩潰:對(duì)瀏覽器擴(kuò)展資源控制策略的安全分析》的論文中不僅詳述了將這兩個(gè)漏洞用于廣告分析的方法,而且還詳述了將漏洞用于惡意應(yīng)用程序如目標(biāo)惡意軟件、社工或易受攻擊擴(kuò)展利用的方法。
| 
