SquareX揭示Chrome扩展的OAuth攻击
关键要点
SquareX曝光了针对Chrome扩展开发者的大规模OAuth攻击,且该攻击发生在Cyberhaven恶意更新之前。 恶意扩展使攻击者能够劫持用户的会话并窃取敏感信息。 浏览器扩展安全性亟需提升,开发者应保持警惕,仔细审核扩展的安装与更新请求。SquareX是一家首创的浏览器检测与响应BDR解决方案公司,在浏览器安全方面走在前列。大约一周前,SquareX报告了针对Chrome扩展开发者的大规模攻击,目标是控制来自Chrome商店的Chrome扩展。
2024年12月25日,Cyberhaven的恶意浏览器扩展在Chrome商店上线,导致攻击者能够劫持经过身份验证的会话和窃取机密信息。该恶意扩展在被Cyberhaven移除之前,已有超过30小时的下载时间。尽管数据丢失防护公司未对影响程度作出评论,但该扩展在出事时已有超过40万用户。
不幸的是,这次攻击发生在SquareX的研究人员已经识别出类似攻击的情况下,该攻击在Cyberhaven事件前一周就已展示了整个攻击路径。攻击的起始是通过伪装成Chrome商店的钓鱼邮件,内容声称平台的“开发者协议”遭到违规,迫使接收者接受政策以防其扩展被移除。一旦用户点击政策按钮,就会被提示连接其Google账户到“隐私政策扩展”,这使得攻击者能够访问开发者的账户,编辑、更新并发布扩展。
Fig 1 针对扩展开发者的钓鱼邮件
Fig 2 请求访问“编辑、更新或发布”开发者扩展的假隐私政策扩展
近年来,扩展已成为攻击者获取初步访问权限的热门途径。这是因为大多数组织对员工使用的浏览器扩展的浏览权有限。即便是最严格的安全团队通常也不会在扩展获得白名单后监控后续更新。
SquareX进行了广泛的研究,并在DEFCON 32上展示了如何利用符合MV3标准的扩展窃取视频流数据、添加静默GitHub协作者以及偷取会话cookies等。不法分子可以设计看似无害的扩展,并在安装后将其转换为恶意扩展,或者如之前的攻击中所示,欺骗受信任扩展背后的开发者从而获取已有数十万用户的扩展。在Cyberhaven的案例中,攻击者通过伪恶意扩展窃取了跨多个网站和网络应用的公司凭证。
由于开发者的电子邮件在Chrome商店上是公开的,攻击者很容易
小牛加速器
