比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Gate.io > Info

MetaMask 瀏覽器擴展錢包 Clickjacking 漏洞分析_MET

Author:

Time:1900/1/1 0:00:00

背景概述

2022 年 6 月 3 日,MetaMask(MM)公開了白帽子發現的一個嚴重的 Clickjacking 漏洞,這個漏洞可以造成的影響是:在用戶的 MM 插件錢包處于解鎖狀態,用戶訪問惡意的站點時,站點可以利用 iframe 標簽將解鎖的 MM 插件錢包頁面嵌入到網頁中并進行隱藏,然后引導用戶在網站上進行點擊操作,實際上是在 MM 解鎖的頁面中進行操作,從而盜取用戶的數字貨幣或藏品等相關資產。鑒于 MM 的用戶體量較大,且 Fork MetaMask 插件錢包的項目也比較多,因此在 MM 公開這個漏洞后,我們立即開始對這個漏洞進行復現,然后開始搜尋這個漏洞對于其他 Fork MetaMask 項目的影響。

隨后,慢霧安全團隊盡可能地通知受到影響的項目方,并引導項目方進行修復。現在將這個 Clickjacking 漏洞的分析公開出來避免后續的項目踩坑。

加密貨幣交易所Metatime完成1100萬美元的種子輪融資:金色財經報道,尚未啟動的土耳其加密貨幣交易所 Metatime 籌集了 1100 萬美元的種子資金。土耳其投資公司 Yildiz Tekno GSYO 和多個未公開姓名的天使投資人參投。這家土耳其加密初創公司正在開發交易所、錢包、區塊鏈、NFT 市場和穩定幣。[2023/3/21 13:15:35]

漏洞分析

由于 MM 在發布這個 Clickjacking 漏洞的時候并沒有詳細的說明,僅是解釋了這個漏洞的利用場景以及能夠產生的危害,所以我在進行復現的時候也遇到了挺多坑(各種盲猜漏洞點),所以為了讓大家能夠更好地順暢地理解整個漏洞,我在進行漏洞分析之前先補充下一個知識點。

我們來了解下 Manifest - Web Accessible Resources。在瀏覽器擴展錢包中有這么一個配置:web_accessible_resources,其用來約束 Web 頁面能夠訪問到瀏覽器擴展的哪些資源,并且在默認的情況下是 Web 頁面訪問不到瀏覽器擴展中的資源文件,僅瀏覽器擴展的本身才能訪問到瀏覽器擴展的資源。簡而言之就是 http/https 等協議下的頁面默認是沒法訪問到 chrome-extension,當然如果擴展錢包配置了 web_accessible_resources 將擴展錢包內部的資源暴露出來,那么就能被 http/https 等協議下的頁面訪問到了。

Sin City Metaverse創世土地以350萬美元售罄:金色財經報道,Sin City《罪惡之城》虛擬土地銷售在2小時內以350萬美元售罄。剛剛售罄的四個區分別是RED LIGHT DISTRICT、CARTEL DISTRICT、CHINATOWN DISTRICT和THE STRIP DISTRICT。據悉,Sin City是由Rated R' Metaverse利用虛擬現實和區塊鏈技術形成的虛擬房地產,共有15,000 塊面積為10x10平方米的土地被仔細地劃分為17個地區。下一次土地出售活動定于二月份舉行。(prnewswire)[2022/1/5 8:25:33]

而 MM 擴展錢包在 10.14.6 之前的版本(本文以 10.14.5 為例)一直保留著 "web_accessible_resources": ["inpage.js", "phishing.html"] 的配置,而這個配置是漏洞得以被利用的一個關鍵點。

Dove Metrics報告:歐洲正試圖成為DeFi中心:Dove Metrics報告顯示,隨著美國加強加密行業監管,歐洲正在成長為DeFi中心。Dove Metrics深入研究歐洲的DeFi市場,結果顯示盡管市場回落,監管壓力加大,但情況看起來仍然健康。報告指出,56個歐洲DeFi團隊已經共計融資2.82億美元,占全球DeFi資金總額的20%左右。由歐元支撐的穩定幣EURS今年也有增長勢頭,過去兩個月的供應量翻一番,達到8860萬歐元(價值約1.05億美元)。報告稱,“在Argent、Aave、Centrifuge和Nexus Mutuall等成功案例引領下,現在歐洲正試圖將自己定位為一個加密中心。”(Beincrypto)[2021/7/28 1:20:31]

Cryptomeria Capital投資基于Solana的去中心化指數協議Symmetry:加密基金Cryptomeria Capital宣布投資Symmetry。據悉,Symmetry是基于Solana區塊鏈的去中心化指數協議和投資組合管理平臺。通過使用Symmetry,用戶可以創建自己的指數,也可以購買其他人創建的指數。

據6月份報道,Symmetry宣布完成首輪融資,Alameda Research領投,Coin98 Ventures、Genesis Block Ventures、Rarestone Capital、ROK Capital等參投。(Cryptomeria)[2021/7/17 0:59:26]

然而在進行漏洞分析的時候,發現在 app/scripts/phishing-detect.js(v10.14.5) 中已經對釣魚頁面的跳轉做了協議的限制。(這里的限制在我的理解應該是還有其他的坑,畢竟 "web_accessible_resources": ["inpage.js", "phishing.html"]`這個配置還保留著)。

Layer2 DAO基礎協議Metis將于5月13日在Ignition Launchpad進行IDO:Layer2 DAO基礎協議Metis宣布將于5月13日進行IDO,第一個IDO平臺是Ignition Launchpad(Paid Network),白名單開啟時間為UTC時間5月5日13:00至5月8日4:00,第二個IDO平臺將于5月8日公布。[2021/5/5 21:26:30]

我們繼續跟進這個協議限制的改動時間點,發現是在如下這個 commit 中添加了這個限制,也就是說在 v10.14.1 之前由于沒有對跳轉的協議進行限制,導致 Clickjacking 漏洞可以輕易被利用。

相關的 commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

為了驗證代碼的分析過程,我們切換到 protocol 限制之前的版本 v10.14.0 進行測試,發現可以輕松復現整個攻擊過程。

但是在 MM 公開的報告中也提到,Clickjacking 漏洞是在 v10.14.6 進行了修復,所以 v10.14.5 是存在漏洞的,再繼續回頭看這里的猜想。(這里的限制在我的理解應該是還有其他的坑,畢竟 "web_accessible_resources": ["inpage.js", "phishing.html"] 這個配置還保留著)。

經過反復翻閱代碼,在 v10.14.5 以及之前版本的代碼,會在釣魚頁面提示的時候,如果用戶點擊了 continuing at your own risk. 之后就會將這個 hostname 加入到本地的白名單列表中。從而在下一次訪問到該網站的時候就不會再出現 MetaMask Phishing Detection 的提醒。

比如這個釣魚網站:ethstake.exchange,通過 iframe 標簽將釣魚網站嵌入到網頁中,然后利用 Clickjacking 漏洞就能將惡意的釣魚網站加入到白名單中,同時在用戶下一次訪問釣魚網站的時候 MM 不會再繼續彈出警告。

分析結論

如上述的分析過程,其實 MM 近期修復的是兩個 Clickjacking 漏洞,在復現過程中發現最新的 v10.14.6 已經將 web_accessible_resources 的相關配置移除了,徹底修復了 MetaMask Phishing Detection 頁面的點擊劫持的問題。

(1)利用 Clickjacking 漏洞誘導用戶進行轉賬的修復(影響版本:https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢霧安全團隊對 chrome 擴展商店中的各個知名的擴展錢包進行了 Clickjacking 的漏洞檢測,發現如下的錢包受到 Clickjacking 漏洞影響:

Coinbase Wallet (v2.17.2)

Coin98 Wallet (v6.0.6)

Maiar DeFi Wallet (v1.2.17)

慢霧安全團隊第一時間聯系項目方團隊,但是到目前為止部分項目方還未反饋,并且 MM 公開這個漏洞至今已經過去了 11 天。為了避免用戶因為該漏洞遭受損失,慢霧安全團隊選擇公開漏洞的分析。如果受影響的相關項目方看到這篇文章需要協助請聯系慢霧安全團隊。

慢霧安全團隊再次提醒瀏覽器擴展錢包項目方如果有基于 MetaMask

慢霧安全團隊建議普通用戶在項目方還未修復漏洞之前可以先暫時停止使用這些擴展錢包(在瀏覽器擴展程序管理中關閉這些擴展錢包),等待錢包官方發布修復版本后,用戶可以及時更新到已修復的版本進行使用。

Tags:METINGMETAETAmetis幣未來價值KingCorgi ChainMETAD價格ENTERMETA

Gate.io
金色早報 | 歐洲央行行長:加密貨幣和 DeFi 可能對金融穩定構成真正風險_BIT

▌歐洲央行行長:加密貨幣和 DeFi 可能對金融穩定構成“真正風險”金色財經報道,歐洲中央銀行(ECB)行長Christine Lagarde表示,我們相信.

1900/1/1 0:00:00
淺論海外NFT的整體投資價值和估值邏輯_無聊猿

編者按 NFT自從2021年火爆出圈以來,受到市場的廣泛關注和討論。雖然海外市場的NFT的產品邏輯與國內市場的數字藏品并不完全一樣,但通過全局性地了解海外市場的發展和運行邏輯,有助于幫大家從長期.

1900/1/1 0:00:00
Web3 解鎖更有價值的互聯網_WEB3

前言:互聯網即將發生重大變化。當今天的主流平臺嚴守著他們的用戶數據寶庫,并通過網絡效應保持優勢的時候,新公司——通過其所謂的“Web3”模式——正在向用戶提出新的價值主張.

1900/1/1 0:00:00
PLAY TO EARN時代終結后 區塊鏈游戲將為游戲行業帶來真正的變革_PLA

研究概要 隨著大批的風險資本涌入區塊鏈游戲賽道及大量的創業者投身于創造區塊鏈游戲,我們在慶幸行業受到廣泛關注的同時也看到越來越多的亂象.

1900/1/1 0:00:00
通往自我主權身份的道路:反烏托邦已成現實?_區塊鏈

匿名性和無信任是加密世界的核心。人們不必將現實世界的身份附加到加密貨幣錢包上,社區在名義上試圖避免對政府或大型科技公司等機構的信任.

1900/1/1 0:00:00
B站數字藏品的探索之路_元宇宙

數字藏品作為一個機遇與挑戰并存的賽道,讓許多企業趨之若鶩。去年6月,支付寶聯合敦煌美術研究所在發布了首款NFT數字作品后,國內NFT賽道漸漸興起,為了與國外的NFT有所區分,后統一更名為數字藏品.

1900/1/1 0:00:00
ads