研究人員Squarex實驗室在最新版本的鉻合金。通過利用這一失敗,惡意的人可能會引起如此稱呼的攻擊“多態性”。顯然,他們可以使用會轉換和來的鍍鉻擴展。篡奪另一個擴展的身份安裝在瀏覽器上,例如密碼管理器。研究人員解釋說“找到一種惡意擴展的方法,默默地篡奪受害者瀏覽器上安裝的任何擴展””。
首先,顯然無害的擴展名受到Chrome網絡商店,Google Extensions Store。一旦Internet用戶安裝在瀏覽器上,擴展將利用允許鍍鉻擴展的API管理其他擴展,她在安裝過程中可以使用。這包含Chrome安裝的擴展名列表,“ Chrome擴展子系統禁止對其他擴展的直接監測”,指示報告。
如果這種策略不起作用,攻擊者也可以“檢測與已知特定擴展相關的獨特Web資源的存在”。例如,他們將檢測包含1Password徽標的PNG文件,其中“可能意味著密碼管理器已安裝”在Chrome上。
篡奪擴展的身份
借助列表,攻擊者將選擇隱藏敏感數據的擴展名的身份。作為實驗的一部分,研究人員Squarex實驗室選擇了密碼管理器,1Password。該操作顯然旨在抓住所有用戶的密碼。始終通過利用專門用於擴展的Chrome API,它們將禁用1Password擴展名存在於瀏覽器上。同時,惡意擴展將轉換為靶向擴展的外觀。圖標將成為1Password的圖標。這是一個“目標圖標附近的像素的完美復製品”。
然後,海盜擴展名將在受害者的計算機上顯示上下文窗口,表明已斷開1Password帳戶。被說服應對官方擴展,目標將輸入您的標識符在界面中。然後將標識信息(例如用戶名和密碼)傳輸到攻擊者。有了這些信息,他們可以連接到受害者1Password帳戶,並滴入所有密碼。當飛行遭受跨越時,擴展範圍涵蓋了其軌跡。她恢復了最初的露面。另外,1Password擴展被重新激活。用戶什麼都沒意識到。
“瀏覽器擴展很容易假裝是合法的工具,但是只有在其執行過程中(通常是在安裝後很長時間)才能採用惡意行為”, 解釋Squarex實驗室。
被警告,但尚未採取行動
Squarx Labs研究人員有阻止Google的Chrome脆弱性進行多態性攻擊。特別是,他們建議防止擴展更改圖標或訪問其他擴展的外觀。至少,當這些更改發生時,Google應立即警告用戶。山景巨頭尚未採取正確的措施來阻止這種網絡攻擊。
但是,這個同類的操作可能災難性後果在鍍鉻用戶上。擴展可以竊取密碼,銀行詳細信息或私鑰,允許訪問加密貨幣錢包。
來源 : Squarex實驗室
