Opera浏览器修复重大安全漏洞
Opera 网络浏览器中现已修补的安全漏洞可能使恶意扩展程序获得对私有 API 的未经授权的完全访问权限。
Guardio Labs 表示,此次攻击的代号为CrossBarking,可以执行截屏、修改浏览器设置和账户劫持等操作。
为了演示该问题,该公司表示,它设法在 Chrome 网上应用店发布了一个看似无害的浏览器扩展程序,该扩展程序在安装在 Opera 上时可以利用该漏洞,使其成为跨浏览器商店攻击的一个实例。
Guardio Labs 负责人 Nati Tal在与 The Hacker News 分享的一份报告中表示:“这一案例研究不仅凸显了生产力与安全之间的长期冲突,而且还让我们得以一窥现代威胁行为者在雷达之下使用的策略。”
经过负责任的披露,Opera 已于 2024 年 9 月 24 日解决了该问题。但这并不是该浏览器第一次被发现存在安全漏洞。
今年 1 月初,有关MyFlaw漏洞的详细信息被曝光,该漏洞利用名为 My Flow 的合法功能在底层操作系统上执行任何文件。
最新的攻击技术依赖于 Opera 拥有的多个可公开访问的子域名对浏览器中嵌入的私有 API 具有特权访问权限。这些域名用于支持 Opera 特有的功能,例如 Opera Wallet、Pinboard 等,以及用于内部开发的功能。
部分域名(其中还包括某些第三方域名)的名称如下:
crypto-corner.op-test.net
op-test.net
gg
opera.atlassian.net
pinboard.opera.com
instagram.com
yandex.com
虽然沙盒可以确保浏览器上下文与操作系统的其余部分隔离,但 Guardio 的研究发现,浏览器扩展中的内容脚本可用于将恶意 JavaScript 注入过于宽松的域并获取对私有 API 的访问权限。
“内容脚本确实可以访问 DOM(文档对象模型),”Tal 解释道。“这包括动态更改它的能力,特别是通过添加新元素。”
有了这种访问权限,攻击者可以截取所有打开的选项卡的屏幕截图,提取会话 cookie 来劫持帐户,甚至修改浏览器的 DNS-over-HTTPS (DoH) 设置以通过攻击者控制的 DNS 服务器解析域。
当受害者试图访问银行或社交媒体网站时,他们会被重定向到恶意网站,从而为强大的中间人 (AitM) 攻击奠定基础。
恶意扩展程序可以作为无害程序发布到任何附加组件目录,包括 Google Chrome 网上应用店,用户可以从那里下载并添加到浏览器中,从而有效触发攻击。然而,它需要在任何网页上运行 JavaScript 的权限,特别是有权访问私有 API 的域。
由于恶意浏览器扩展程序屡屡渗入官方商店,更不用说一些合法扩展程序在数据收集行为上缺乏透明度,调查结果强调了在安装这些扩展程序之前必须谨慎。
“浏览器扩展程序拥有相当大的权力——无论是好是坏,”塔尔说。“因此,政策执行者必须严格监控它们。”
“当前的审核模式存在不足;我们建议增加人力和持续分析方法来加强审核,以便在批准后监控扩展程序的活动。此外,对开发者账户进行真实身份验证至关重要,因此仅使用免费电子邮件和预付信用卡不足以进行注册。”
