作者:23pds@慢雾安全团队
2024 年 6 月 3 日,推特用户@CryptoNakamao 发文讲述其因下载恶意的 Chrome 扩展 Aggr 导致 100 万美金被盗的经过,引起广大加密社区用户对扩展风险的关注和自己加密资产安全性的担忧。在 5 月 31 日,慢雾安全团队发布了披着羊皮的狼|虚假 Chrome 扩展盗窃分析一文,对恶意的 Aggr 扩展的作恶方式输出了详细分析。鉴于广大用户缺乏浏览器扩展的背景知识,慢雾首席信息安全官 23pds 在本文通过六问六答,讲解扩展的基础知识和潜在风险,提供应对扩展风险的建议,希望能帮助个人用户和交易平台提高保护账户和资产安全的能力。
(https://x.com/im23pds/status/1797528115897626708)
Chrome 扩展(Chrome Extension) 是为谷歌浏览器(Google Chrome) 设计的插件,能够扩展浏览器的功能和行为。它们可以自定义用户的浏览体验,添加新的特性或内容,或者与网站交互。Chrome 扩展通常由 HTML、CSS、JavaScript 以及其他网页技术构建。
Chrome 扩展的结构通常包括以下几个部分:
manifest.json:扩展的配置文件,定义了扩展的基本信息(如名称、版本、权限等)。
背景脚本(Background Scripts):运行在浏览器后台,处理事件和长期任务。
内容脚本(Content Scripts):运行在网页上下文中,能够直接与网页进行交互。
用户界面(UI):如浏览器工具栏按钮、弹出窗口、选项页等。
广告拦截:扩展可以拦截和阻止网页上的广告,从而提高网页加载速度和用户体验。例如,AdBlock 和 uBlock Origin。
隐私和安全:一些扩展可以增强用户的隐私和安全性,如防止跟踪、加密通信、管理密码等。例如,Privacy Badger 和 LastPass。
生产力工具:扩展可以帮助用户提高生产力,如管理任务、记笔记、时间跟踪等。例如,Todoist 和 Evernote Web Clipper。
开发者工具:为网页开发者提供调试和开发工具,如查看网页结构、调试代码、分析网络请求等。例如,React Developer Tools 和 Postman。
社交媒体和通讯:扩展可以集成社交媒体和通讯工具,方便用户在浏览网页时处理社交媒体通知、消息等。例如,Grammarly 和 Facebook Messenger。
网页定制:用户可以通过扩展自定义网页的外观和行为,如更改主题、重新排列页面元素、添加额外功能等。例如,Stylish 和 Tampermonkey。
自动化任务:扩展可以帮助用户自动化重复性任务,如自动填写表单、批量下载文件等。例如,iMacros 和 DownThemAll。
语言翻译:一些扩展可以实时翻译网页内容,帮助用户理解不同语言的网页,如 Google 翻译。
加密货币辅助:扩展可以帮助用户在加密货币交易时更加方便,如 MetaMask 等。
Chrome 扩展的灵活性和多样性使得它们几乎可以应用于任何浏览场景,帮助用户更高效地完成各种任务。
Chrome 扩展在安装后可能会请求一系列权限,以便执行特定的功能。这些权限在扩展的 manifest.json 文件中声明,并在安装时提示用户进行确认。常见的权限包括:
<all_urls>:允许扩展访问所有网站的内容。这是一个广泛的权限,允许扩展读取和修改所有网站的数据。
tabs:允许扩展访问浏览器的标签信息,包括获取当前打开的标签、创建和关闭标签等。
activeTab:允许扩展暂时访问当前激活的标签,通常用于在用户点击扩展按钮时执行特定操作。
storage:允许扩展使用 Chrome 的存储 API 来存储和检索数据。这可以用于保存扩展的设置、用户数据等。
cookies:允许扩展访问和修改浏览器中的 cookies。
webRequest 和 webRequestBlocking:允许扩展拦截和修改网络请求。这些权限通常用于广告拦截和隐私保护扩展。
bookmarks:允许扩展访问和修改浏览器的书签。
history:允许扩展访问和修改浏览器的历史记录。
notifications:允许扩展显示桌面通知。
contextMenus:允许扩展在浏览器的上下文菜单(右键菜单)中添加自定义菜单项。
geolocation:允许扩展访问用户的地理位置信息。
clipboardRead 和 clipboardWrite:允许扩展读取和写入剪贴板内容。
downloads:允许扩展管理下载,包括启动、暂停和取消下载。
management:允许扩展管理浏览器的其他扩展和应用程序。
background:允许扩展在后台运行长时间任务。
notifications:允许扩展显示系统通知。
webNavigation:允许扩展监控和修改浏览器的导航行为。
这些权限使得 Chrome 扩展能够执行许多强大和多样的功能,但也意味着它们有可能访问用户的敏感数据,如 cookies 、认证信息等。
恶意的 Chrome 扩展可以利用所请求的权限盗取用户的权限和认证信息,因为这些扩展可以直接访问和操作用户的浏览器环境和数据。具体原因和方式如下:
广泛的权限访问:恶意扩展通常会请求大量的权限,如访问所有网站(<all_urls>)、读取和修改浏览器标签(tabs)、访问浏览器的存储(storage) 等。这些权限使得恶意扩展能够广泛地访问用户的浏览活动和数据。
操作网络请求:恶意扩展可以使用 webRequest 和 webRequestBlocking 权限拦截和修改网络请求,从而窃取用户的认证信息和敏感数据。例如,它们可以在用户登录网站时拦截表单数据,获取用户名和密码。
读取和写入页面内容:通过 content scripts,恶意扩展可以嵌入代码到网页中,读取和修改页面内容。这意味着它们可以窃取用户在网页上输入的任何数据,如表单信息、搜索查询等。
访问浏览器存储:恶意扩展可以使用 storage 权限访问和存储用户的本地数据,包括可能包含敏感信息的浏览器存储(如 LocalStorage 和 IndexedDB)。
操作剪贴板:通过 clipboardRead 和 clipboardWrite 权限,恶意扩展可以读取和写入用户的剪贴板内容,从而窃取或篡改用户复制粘贴的信息。
伪装成合法网站:恶意扩展可以通过修改浏览器的内容或重定向用户访问的网页,伪装成合法网站,诱导用户输入敏感信息。
长期后台运行:具有 background 权限的恶意扩展可以在后台持续运行,即使用户没有主动使用它们。这使得它们可以长时间监控用户的活动,收集大量数据。
操作下载:使用 downloads 权限,恶意扩展可以下载和执行恶意文件,进一步危及用户的系统安全。
因为这次恶意的Aggr 扩展刚好获得了上面我们聊到的背景信息,以下是这个恶意插件 manifes.json 文件 permissions 内容片段:
cookies
tabs
<all_urls>
storage
访问账户:恶意扩展可以使用盗取的 cookies 模拟用户登录交易平台账户,从而访问用户的账户信息,包括余额、交易历史等。
进行交易:盗取的 cookies 可能允许恶意扩展在未经用户同意的情况下进行交易,购买或出售加密货币,甚至将资产转移到其他账户。
提取资金:如果 cookies 包含会话信息和认证令牌,恶意扩展可能绕过二次验证(2FA),直接发起资金提取,将用户的加密货币转移到攻击者控制的钱包中。
访问敏感信息:恶意扩展可以访问和收集用户在交易平台账户中的敏感信息,如身份验证文件、地址等,可能用于进一步的身份盗窃或诈骗活动。
修改账户设置:恶意扩展可以更改用户的账户设置,如绑定的电子邮件地址、手机号码等,进一步控制账户和窃取更多信息。
冒充用户进行社会工程攻击:利用用户账户进行社会工程攻击,如向用户的联系人发送诈骗信息,诱导他们进行不安全的操作或提供更多敏感信息。
看到这,广大用户可能会想,那怎么办,直接断网不玩了?用单独的电脑做操作?不用网页登陆平台?网络上出现了很多一棍子打死的说法,但其实我们可以学习如何合理防范这类风险:
个人用户的应对措施:
增强个人安全意识:第一个防范建议是增强个人安全意识,始终保持怀疑的态度。
仅安装可信来源的扩展:从 Chrome 网上应用店或其他可信来源安装扩展,并阅读用户评价和权限请求,尽量不授予扩展不必要的访问权限。
使用安全的浏览器环境:避免安装不明来源的扩展,并定期审查和删除不必要的扩展,安装不同的浏览器,隔离插件浏览器和交易资金浏览器。
定期检查账户活动:定期检查账户登录活动和交易记录,发现可疑行为立即采取措施。
记得退出登录:使用完网页操作平台后要记得退出。很多人为了方便,在登录平台完成操作后,不点击退出登录,这个习惯存在安全风险。
使用硬件钱包:对于大额资产,使用硬件钱包进行存储,以提高安全性。
浏览器设置和安全工具:使用安全的浏览器设置和扩展(如广告拦截器、隐私保护工具)减少恶意扩展的风险。
使用安全软件:安装和使用安全软件来检测和防止恶意扩展和其他恶意软件作恶。
最后是给平台的风控建议,通过这些措施,交易平台可以降低恶意 Chrome 扩展给用户带来的安全风险:
强制使用二次验证(2FA):
- 全局启用 2FA:要求所有用户在登录和进行重要操作(如交易、下单、提取资金)时启用二次验证(2FA),确保即使用户的 cookies 被盗,攻击者也无法轻易访问账户。
- 多种验证方式:支持多种二次验证方式,如短信、电子邮件、Google Authenticator 和硬件令牌等。
会话管理和安全:
- 设备管理:提供用户查看和管理已登录设备的功能,让用户可以随时注销不明设备的会话。
- 会话超时:实施会话超时策略,对长时间未活动的会话进行自动注销,减少会话被盗用的风险。
- IP 地址和地理位置监控:检测和提醒用户来自异常 IP 地址或地理位置的登录尝试,并在必要时阻止这些登录。
强化账户安全设置:
- 安全通知:即时向用户发送有关账户登录、密码更改、资金提取等重要操作的通知,可以通过邮件或短信提醒用户异常活动。
- 账户冻结功能:提供紧急情况下用户可以快速冻结账户的选项,控制受损范围。
加强监控和风控系统:
- 异常行为检测:使用机器学习和大数据分析监控用户行为,识别异常交易模式和账户活动,及时进行风控干预。
- 风控预警:对频繁更改账户信息、频繁尝试登录失败等可疑行为进行预警和限制。
为用户提供安全教育和工具:
- 安全教育:通过官方社交账号、电子邮件、平台内通知等渠道向用户普及安全知识,提示用户注意浏览器扩展的风险和如何保护账户。
- 安全工具:提供官方的浏览器插件或扩展,帮助用户增强账户安全,检测并提醒用户可能存在的安全威胁。
坦白说,从技术的角度来看,很多时候把上文提到的风控措施都做了,可能并不是最好的方式。安全和业务需要平衡,安全太重,用户体验会不好,比如下单时需要二次认证,很多用户为了下单快,索性关掉!结果是方便了自己也方便了黑客,因为一旦 cookies 被盗,不能提币,黑客就可以玩对敲,造成用户资产受损。所以针对不同的平台和用户,采取风控的方式也不相同。至于安全与业务的平衡点在哪,不同的平台有不同的考量,希望平台在考虑用户体验的同时,也能保护好用户账户和资产的安全。
ATLAS是什么币种?ATLAS是一种加密货币,它是由Atlas Blockchain Group推出的数字资产。ATLAS的目标是提供一种安全、高效、可扩展的区块链网络,以连接全球金融与商业领域。ATLAS的设计旨在改善现有金融体系的效率,并为金融机构和企业创造更多的机会。背景ATLAS是在2019年创建的,作为Atlas Blockchain Group的发行和流通货币。Atlas Block
2 PHA币多少钱一个?PHA币Phala历史最高和最低价格介绍
PHA币的价格走势PHA币是Phala Network的代币,目前在各大加密货币交易所上线交易。作为DeFi行业的一员,PHA币的价格也受到市场和投资者的关注。PHA币的价格变化PHA币的价格一直在不断波动,受市场因素的影响,价格可能会有较大幅度的涨跌。投资者需要谨慎对待PHA币的价格波动,并做好风险控制。PHA币的历史最高价格PHA币曾经在历史上达到过一个较高的价格,可以吸引更多的投资者关注。历
PUX币值得投资吗?PUX币是一个相对较新的加密货币,它的发展和前景备受关注。但是对于普通投资者来说,是否值得投资PUX币,需要深入了解其市场表现和潜在风险。PUX币的优势PUX币采用了区块链技术,具有去中心化、安全、匿名等特点,可以用于跨境支付、智能合约等领域。此外,PUX币在一些行业中有着广泛的应用前景,比如金融、医疗、物流等。潜在风险然而,加密货币市场的波动性很大,存在一定的风险。PUX币作
OXY币最高价格和最低价格的波动随着加密货币市场的快速发展,许多加密货币已经取得了巨大的成功。其中一种备受关注的加密货币是OXY币。OXY币是一种新兴的数字货币,其价格在短时间内经历了快速的波动。在这篇文章中,我们将探讨OXY币的最高价格涨到了多少,最低价格跌到了多少。最高价格的涨幅OXY币在过去几个月内经历了惊人的涨幅,其最高价格一度超过了20美元。这是在全球加密货币市场处于最繁忙时期的情况下发
NAU币是什么项目?NAU币是一个区块链项目,旨在通过结合区块链技术和营销推广行业,搭建一个全球化的移动广告市场平台。NAU币的目标是为广告商和消费者提供一个透明、高效和互惠的环境,使其能够共同从广告活动中获益。NAU币的特点1. 基于区块链技术:NAU币使用区块链技术来保证广告活动的透明和可追溯性。这意味着广告商和消费者可以放心地参与广告活动,因为他们可以准确地了解每一次交易的细节。2. 移动广
ADA币是一种基于区块链技术的数字货币,由Cardano项目发起并开发。Cardano是一个开源平台,旨在提供更加安全、可持续和可扩展的区块链解决方案。ADA币的发行时间可以追溯到2017年。让我们一起来了解一下ADA币的发行时间线。2015年:Cardano项目最早于2015年由IOHK(Input Output Hong Kong)公司发起。该公司由全球区块链专家Charles Hoskins
RIGS是什么币种?RIGS是基于以太坊区块链的加密货币,是由一群专业的开发人员和投资者共同研发的数字货币项目。RIGS旨在为用户提供更安全、更隐私的交易方式,并致力于打造一个去中心化的交易平台。RIGS币的特点RIGS币采用了匿名性和加密性技术,使得交易更为隐匿和安全。同时,RIGS币还支持智能合约功能,用户可根据自身需求进行个性化的设置,实现更加复杂的交易操作。RIGS币的优势1. 高度的匿名
为什么选择投资PPT币? PPT币是PPTV平台推出的数字货币,是一种具有广泛应用前景的数字资产。PPT币的发行量固定,具有较高的保值性和升值潜力。同时,PPT币在PPTV平台内拥有广泛的应用场景,包括购买会员、投票打赏等,具有一定的使用性。 PPT币的投资前景如何? 随着数字货币市场的不断发展,PPT币的价值也有望不断提升。PPTV平台作为国内知名的视频直播平台,用户群体庞大,PPT币的使用场景
PIZZA是什么币种PIZZA币是一种加密货币,它是以比特币为基础发展而来的。PIZZA币的创造者是比特币的早期参与者之一Laszlo Hanyecz。Laszlo在2010年用比特币购买两份披萨,这个事件被后人称为比特币历史上的第一笔交易,因此PIZZA币也被称为比特币的“姐妹币”。PIZZA币的特点PIZZA币的总供应量为2500万个,采用POW共识机制,保证了区块链网络的安全性和稳定性。此外
10 RAC币Robo Advisor Coin是什么?RAC相关介绍
介绍RAC币/Robo Advisor CoinRAC币(Robo Advisor Coin)是一种基于区块链技术的加密货币,旨在为投资者提供自动化投资服务。这种虚拟货币通过智能合约和机器学习算法来管理投资组合,帮助投资者实现资产增值。RAC币的特点1. 自动化投资:RAC币通过智能合约自动执行投资策略,减少人为干预,提高投资效率。2. 透明和安全:区块链技术确保了交易的透明性和安全性,保护投资者
