作者:23pds@慢雾安全团队
2024 年 6 月 3 日,推特用户@CryptoNakamao 发文讲述其因下载恶意的 Chrome 扩展 Aggr 导致 100 万美金被盗的经过,引起广大加密社区用户对扩展风险的关注和自己加密资产安全性的担忧。在 5 月 31 日,慢雾安全团队发布了披着羊皮的狼|虚假 Chrome 扩展盗窃分析一文,对恶意的 Aggr 扩展的作恶方式输出了详细分析。鉴于广大用户缺乏浏览器扩展的背景知识,慢雾首席信息安全官 23pds 在本文通过六问六答,讲解扩展的基础知识和潜在风险,提供应对扩展风险的建议,希望能帮助个人用户和交易平台提高保护账户和资产安全的能力。
(https://x.com/im23pds/status/1797528115897626708)
Chrome 扩展(Chrome Extension) 是为谷歌浏览器(Google Chrome) 设计的插件,能够扩展浏览器的功能和行为。它们可以自定义用户的浏览体验,添加新的特性或内容,或者与网站交互。Chrome 扩展通常由 HTML、CSS、JavaScript 以及其他网页技术构建。
Chrome 扩展的结构通常包括以下几个部分:
manifest.json:扩展的配置文件,定义了扩展的基本信息(如名称、版本、权限等)。
背景脚本(Background Scripts):运行在浏览器后台,处理事件和长期任务。
内容脚本(Content Scripts):运行在网页上下文中,能够直接与网页进行交互。
用户界面(UI):如浏览器工具栏按钮、弹出窗口、选项页等。
广告拦截:扩展可以拦截和阻止网页上的广告,从而提高网页加载速度和用户体验。例如,AdBlock 和 uBlock Origin。
隐私和安全:一些扩展可以增强用户的隐私和安全性,如防止跟踪、加密通信、管理密码等。例如,Privacy Badger 和 LastPass。
生产力工具:扩展可以帮助用户提高生产力,如管理任务、记笔记、时间跟踪等。例如,Todoist 和 Evernote Web Clipper。
开发者工具:为网页开发者提供调试和开发工具,如查看网页结构、调试代码、分析网络请求等。例如,React Developer Tools 和 Postman。
社交媒体和通讯:扩展可以集成社交媒体和通讯工具,方便用户在浏览网页时处理社交媒体通知、消息等。例如,Grammarly 和 Facebook Messenger。
网页定制:用户可以通过扩展自定义网页的外观和行为,如更改主题、重新排列页面元素、添加额外功能等。例如,Stylish 和 Tampermonkey。
自动化任务:扩展可以帮助用户自动化重复性任务,如自动填写表单、批量下载文件等。例如,iMacros 和 DownThemAll。
语言翻译:一些扩展可以实时翻译网页内容,帮助用户理解不同语言的网页,如 Google 翻译。
加密货币辅助:扩展可以帮助用户在加密货币交易时更加方便,如 MetaMask 等。
Chrome 扩展的灵活性和多样性使得它们几乎可以应用于任何浏览场景,帮助用户更高效地完成各种任务。
Chrome 扩展在安装后可能会请求一系列权限,以便执行特定的功能。这些权限在扩展的 manifest.json 文件中声明,并在安装时提示用户进行确认。常见的权限包括:
<all_urls>:允许扩展访问所有网站的内容。这是一个广泛的权限,允许扩展读取和修改所有网站的数据。
tabs:允许扩展访问浏览器的标签信息,包括获取当前打开的标签、创建和关闭标签等。
activeTab:允许扩展暂时访问当前激活的标签,通常用于在用户点击扩展按钮时执行特定操作。
storage:允许扩展使用 Chrome 的存储 API 来存储和检索数据。这可以用于保存扩展的设置、用户数据等。
cookies:允许扩展访问和修改浏览器中的 cookies。
webRequest 和 webRequestBlocking:允许扩展拦截和修改网络请求。这些权限通常用于广告拦截和隐私保护扩展。
bookmarks:允许扩展访问和修改浏览器的书签。
history:允许扩展访问和修改浏览器的历史记录。
notifications:允许扩展显示桌面通知。
contextMenus:允许扩展在浏览器的上下文菜单(右键菜单)中添加自定义菜单项。
geolocation:允许扩展访问用户的地理位置信息。
clipboardRead 和 clipboardWrite:允许扩展读取和写入剪贴板内容。
downloads:允许扩展管理下载,包括启动、暂停和取消下载。
management:允许扩展管理浏览器的其他扩展和应用程序。
background:允许扩展在后台运行长时间任务。
notifications:允许扩展显示系统通知。
webNavigation:允许扩展监控和修改浏览器的导航行为。
这些权限使得 Chrome 扩展能够执行许多强大和多样的功能,但也意味着它们有可能访问用户的敏感数据,如 cookies 、认证信息等。
恶意的 Chrome 扩展可以利用所请求的权限盗取用户的权限和认证信息,因为这些扩展可以直接访问和操作用户的浏览器环境和数据。具体原因和方式如下:
广泛的权限访问:恶意扩展通常会请求大量的权限,如访问所有网站(<all_urls>)、读取和修改浏览器标签(tabs)、访问浏览器的存储(storage) 等。这些权限使得恶意扩展能够广泛地访问用户的浏览活动和数据。
操作网络请求:恶意扩展可以使用 webRequest 和 webRequestBlocking 权限拦截和修改网络请求,从而窃取用户的认证信息和敏感数据。例如,它们可以在用户登录网站时拦截表单数据,获取用户名和密码。
读取和写入页面内容:通过 content scripts,恶意扩展可以嵌入代码到网页中,读取和修改页面内容。这意味着它们可以窃取用户在网页上输入的任何数据,如表单信息、搜索查询等。
访问浏览器存储:恶意扩展可以使用 storage 权限访问和存储用户的本地数据,包括可能包含敏感信息的浏览器存储(如 LocalStorage 和 IndexedDB)。
操作剪贴板:通过 clipboardRead 和 clipboardWrite 权限,恶意扩展可以读取和写入用户的剪贴板内容,从而窃取或篡改用户复制粘贴的信息。
伪装成合法网站:恶意扩展可以通过修改浏览器的内容或重定向用户访问的网页,伪装成合法网站,诱导用户输入敏感信息。
长期后台运行:具有 background 权限的恶意扩展可以在后台持续运行,即使用户没有主动使用它们。这使得它们可以长时间监控用户的活动,收集大量数据。
操作下载:使用 downloads 权限,恶意扩展可以下载和执行恶意文件,进一步危及用户的系统安全。
因为这次恶意的Aggr 扩展刚好获得了上面我们聊到的背景信息,以下是这个恶意插件 manifes.json 文件 permissions 内容片段:
cookies
tabs
<all_urls>
storage
访问账户:恶意扩展可以使用盗取的 cookies 模拟用户登录交易平台账户,从而访问用户的账户信息,包括余额、交易历史等。
进行交易:盗取的 cookies 可能允许恶意扩展在未经用户同意的情况下进行交易,购买或出售加密货币,甚至将资产转移到其他账户。
提取资金:如果 cookies 包含会话信息和认证令牌,恶意扩展可能绕过二次验证(2FA),直接发起资金提取,将用户的加密货币转移到攻击者控制的钱包中。
访问敏感信息:恶意扩展可以访问和收集用户在交易平台账户中的敏感信息,如身份验证文件、地址等,可能用于进一步的身份盗窃或诈骗活动。
修改账户设置:恶意扩展可以更改用户的账户设置,如绑定的电子邮件地址、手机号码等,进一步控制账户和窃取更多信息。
冒充用户进行社会工程攻击:利用用户账户进行社会工程攻击,如向用户的联系人发送诈骗信息,诱导他们进行不安全的操作或提供更多敏感信息。
看到这,广大用户可能会想,那怎么办,直接断网不玩了?用单独的电脑做操作?不用网页登陆平台?网络上出现了很多一棍子打死的说法,但其实我们可以学习如何合理防范这类风险:
个人用户的应对措施:
增强个人安全意识:第一个防范建议是增强个人安全意识,始终保持怀疑的态度。
仅安装可信来源的扩展:从 Chrome 网上应用店或其他可信来源安装扩展,并阅读用户评价和权限请求,尽量不授予扩展不必要的访问权限。
使用安全的浏览器环境:避免安装不明来源的扩展,并定期审查和删除不必要的扩展,安装不同的浏览器,隔离插件浏览器和交易资金浏览器。
定期检查账户活动:定期检查账户登录活动和交易记录,发现可疑行为立即采取措施。
记得退出登录:使用完网页操作平台后要记得退出。很多人为了方便,在登录平台完成操作后,不点击退出登录,这个习惯存在安全风险。
使用硬件钱包:对于大额资产,使用硬件钱包进行存储,以提高安全性。
浏览器设置和安全工具:使用安全的浏览器设置和扩展(如广告拦截器、隐私保护工具)减少恶意扩展的风险。
使用安全软件:安装和使用安全软件来检测和防止恶意扩展和其他恶意软件作恶。
最后是给平台的风控建议,通过这些措施,交易平台可以降低恶意 Chrome 扩展给用户带来的安全风险:
强制使用二次验证(2FA):
- 全局启用 2FA:要求所有用户在登录和进行重要操作(如交易、下单、提取资金)时启用二次验证(2FA),确保即使用户的 cookies 被盗,攻击者也无法轻易访问账户。
- 多种验证方式:支持多种二次验证方式,如短信、电子邮件、Google Authenticator 和硬件令牌等。
会话管理和安全:
- 设备管理:提供用户查看和管理已登录设备的功能,让用户可以随时注销不明设备的会话。
- 会话超时:实施会话超时策略,对长时间未活动的会话进行自动注销,减少会话被盗用的风险。
- IP 地址和地理位置监控:检测和提醒用户来自异常 IP 地址或地理位置的登录尝试,并在必要时阻止这些登录。
强化账户安全设置:
- 安全通知:即时向用户发送有关账户登录、密码更改、资金提取等重要操作的通知,可以通过邮件或短信提醒用户异常活动。
- 账户冻结功能:提供紧急情况下用户可以快速冻结账户的选项,控制受损范围。
加强监控和风控系统:
- 异常行为检测:使用机器学习和大数据分析监控用户行为,识别异常交易模式和账户活动,及时进行风控干预。
- 风控预警:对频繁更改账户信息、频繁尝试登录失败等可疑行为进行预警和限制。
为用户提供安全教育和工具:
- 安全教育:通过官方社交账号、电子邮件、平台内通知等渠道向用户普及安全知识,提示用户注意浏览器扩展的风险和如何保护账户。
- 安全工具:提供官方的浏览器插件或扩展,帮助用户增强账户安全,检测并提醒用户可能存在的安全威胁。
坦白说,从技术的角度来看,很多时候把上文提到的风控措施都做了,可能并不是最好的方式。安全和业务需要平衡,安全太重,用户体验会不好,比如下单时需要二次认证,很多用户为了下单快,索性关掉!结果是方便了自己也方便了黑客,因为一旦 cookies 被盗,不能提币,黑客就可以玩对敲,造成用户资产受损。所以针对不同的平台和用户,采取风控的方式也不相同。至于安全与业务的平衡点在哪,不同的平台有不同的考量,希望平台在考虑用户体验的同时,也能保护好用户账户和资产的安全。
1 区块链到底是啥
区块链到底是啥?区块链是一种分布式的账本技术,它突破了传统中央化的数据存储方式,将数据以区块的形式链接在一起,形成一个不可篡改的链式结构。区块链的出现被认为是继互联网之后的又一次技术革命,其应用领域涵盖了金融、物联网、供应链管理等各个领域。去中心化的特点区块链的最大特点是去中心化,传统的中心化机构(如银行)会集中管理用户的交易记录和资金,而区块链通过网络中众多节点的分布式记账,实现了信息的共享和公
加密货币转汇是什么?加密货币转汇指的是使用加密货币进行国际汇款和转账的过程。加密货币是一种以加密技术为基础的数字货币,如比特币、以太坊等。与传统的银行转账相比,加密货币转汇具有更快速、低成本、去中心化等优势。人们可以通过加密货币转汇实现跨国边界的资金流动。加密货币转汇的工作原理加密货币转汇的工作原理基于区块链技术。区块链是一种去中心化的分布式账本,其中存储了所有加密货币交易的记录。当一笔加密货币转
介绍GSC币GSC币是一种全新的数字货币,它是Ground X公司推出的一种基于区块链技术的虚拟货币。GSC代表Global Social Chain,旨在构建一个更加开放和公正的全球社交网络平台。作为一种去中心化的加密货币,GSC币具有快速和安全的特点,并提供数十亿用户参与的全球社交平台。技术背景和特点GSC币基于区块链技术,采用图灵完备的智能合约平台,使得用户能够开发和运行去中心化的应用程序(
2024年Spore(SPORE币)在哪个交易所买卖?随着2024年的来临,加密货币市场继续快速发展,投资者对于新兴数字货币的关注度也越来越高。其中,Spore (SPORE币)作为一种新型的数字货币,在2024年将在多个交易所开放买卖。以下是一些可能会列出的交易所:1.全球顶级交易所BinanceBinance 作为全球最大的加密货币交易平台之一,将有可能在2024年列出Spore (SPORE
EGT是什么币种?EGT是Egretia项目的代币,是一个基于区块链技术的HTML5游戏平台。EGT代币的发行旨在推动HTML5游戏产业的快速发展及游戏开发者和用户之间的互利互信的关系。以下将详细介绍EGT币种及其特点。1. EGT的背景和目标EGT的背景是移动游戏市场正迅速增长,并且HTML5技术在移动游戏领域中占有重要地位。然而,HTML5游戏开发者在获得收益和保护游戏知识产权等方面面临许多问
虚拟货币加密认证是什么虚拟货币加密认证是指使用加密技术来确保虚拟货币的交易安全和防止伪造的过程。虚拟货币加密认证通过加密算法对交易信息进行加密处理,使得交易的真实性和完整性得以验证。这种认证方式是虚拟货币的核心技术之一,为虚拟货币的使用者提供了安全、可靠的交易环境。加密技术在虚拟货币中的应用加密技术在虚拟货币中起到了至关重要的作用。加密技术保护了虚拟货币交易的隐私性。在传统的金融系统中,银行等金融
买什么加密货币好挣钱在加密货币市场中,选择正确的加密货币是挣钱的关键。虽然市场波动剧烈,但仍有一些加密货币被认为是良好的投资选择。以下是几种可能的加密货币,它们具有潜力在未来带来可观的回报。1. 比特币(Bitcoin)比特币是第一种被广泛认可的加密货币。它是一种去中心化的数字货币,已经在全球范围内获得了广泛的认可和使用。比特币的市值是所有加密货币中最高的,且市场流动性也非常高。这使得比特币成为许
认识CITIZEN币CITIZEN币是一种数字货币,由Citizen Finance开发。它是建立在区块链技术上的加密货币,旨在为全球社区提供一种安全、高效和去中心化的支付和价值交换方式。区块链技术和CITIZEN币区块链技术是一种去中心化的技术,它允许参与者在无需信任第三方的情况下进行可验证的交易。CITIZEN币利用区块链技术来确保交易的安全性和可追溯性,同时保护用户的隐私。使用CITIZEN
DeFi借贷币有哪些?在去中心化金融(Decentralized Finance,简称DeFi)领域,借贷是其中最重要的应用之一。DeFi借贷币是指在DeFi生态系统中用于借贷的加密货币。这些借贷币的使用方式和价值都不尽相同。下面将介绍一些常见的DeFi借贷币。1. DaiDai是由MakerDAO发行的稳定币,其价值与美元保持1:1的锚定关系。Dai可以在DeFi平台上存入以获取利息,也可以作为
10 什么是比特币的哈希率?
什么是比特币的哈希率?比特币的哈希率是指比特币网络中的计算能力,可以被定义为每秒钟完成的哈希操作的数量。哈希操作是一种加密算法中的计算步骤,用于验证比特币交易和创建新的比特币。哈希操作是什么?哈希操作是一种将任意长度的数据转换为固定长度哈希值的算法。在比特币网络中,使用的是SHA-256(Secure Hash Algorithm 256-bit)算法,它将输入数据转换为256位的哈希值。为什么需
