研究人员Squarex实验室在最新版本的铬合金。通过利用这一失败,恶意的人可能会引起如此称呼的攻击“多态性”。显然,他们可以使用会转换和来的镀铬扩展。篡夺另一个扩展的身份安装在浏览器上,例如密码管理器。研究人员解释说“找到一种恶意扩展的方法,默默地篡夺受害者浏览器上安装的任何扩展””。
首先,显然无害的扩展名受到Chrome网络商店,Google Extensions Store。一旦Internet用户安装在浏览器上,扩展将利用允许镀铬扩展的API管理其他扩展,她在安装过程中可以使用。这包含Chrome安装的扩展名列表,“ Chrome扩展子系统禁止对其他扩展的直接监测”,指示报告。
如果这种策略不起作用,攻击者也可以“检测与已知特定扩展相关的独特Web资源的存在”。例如,他们将检测包含1Password徽标的PNG文件,其中“可能意味着密码管理器已安装”在Chrome上。
篡夺扩展的身份
借助列表,攻击者将选择隐藏敏感数据的扩展名的身份。作为实验的一部分,研究人员Squarex实验室选择了密码管理器,1Password。该操作显然旨在抓住所有用户的密码。始终通过利用专门用于扩展的Chrome API,它们将禁用1Password扩展名存在于浏览器上。同时,恶意扩展将转换为靶向扩展的外观。图标将成为1Password的图标。这是一个“目标图标附近的像素的完美复制品”。
然后,海盗扩展名将在受害者的计算机上显示上下文窗口,表明已断开1Password帐户。被说服应对官方扩展,目标将输入您的标识符在界面中。然后将标识信息(例如用户名和密码)传输到攻击者。有了这些信息,他们可以连接到受害者1Password帐户,并滴入所有密码。当飞行遭受跨越时,扩展范围涵盖了其轨迹。她恢复了最初的露面。另外,1Password扩展被重新激活。用户什么都没意识到。
“浏览器扩展很容易假装是合法的工具,但是只有在其执行过程中(通常是在安装后很长时间)才能采用恶意行为”, 解释Squarex实验室。
被警告,但尚未采取行动
Squarx Labs研究人员有阻止Google的Chrome脆弱性进行多态性攻击。特别是,他们建议防止扩展更改图标或访问其他扩展的外观。至少,当这些更改发生时,Google应立即警告用户。山景巨头尚未采取正确的措施来阻止这种网络攻击。
但是,这个同类的操作可能灾难性后果在镀铬用户上。扩展可以窃取密码,银行详细信息或私钥,允许访问加密货币钱包。
来源 : Squarex实验室
