加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > ETH > Info

MetaMask 瀏覽器擴展錢包 Clickjacking 漏洞分析_MET:META

Author:

Time:1900/1/1 0:00:00

背景概述

2022 年 6 月 3 日,MetaMask(MM)公開了白帽子發現的一個嚴重的 Clickjacking 漏洞,這個漏洞可以造成的影響是:在用戶的 MM 插件錢包處于解鎖狀態,用戶訪問惡意的站點時,站點可以利用 iframe 標簽將解鎖的 MM 插件錢包頁面嵌入到網頁中并進行隱藏,然后引導用戶在網站上進行點擊操作,實際上是在 MM 解鎖的頁面中進行操作,從而盜取用戶的數字貨幣或藏品等相關資產。鑒于 MM 的用戶體量較大,且 Fork MetaMask 插件錢包的項目也比較多,因此在 MM 公開這個漏洞后,我們立即開始對這個漏洞進行復現,然后開始搜尋這個漏洞對于其他 Fork MetaMask 項目的影響。

隨后,慢霧安全團隊盡可能地通知受到影響的項目方,并引導項目方進行修復。現在將這個 Clickjacking 漏洞的分析公開出來避免后續的項目踩坑。

Coin Metrics:比特幣礦機效率在五年內翻倍,能耗下降63%:金色財經報道,Coin Metrics最近發布的一份研究報告顯示,在整個網絡范圍內,比特幣礦機硬件的效率從2018年7月的近89J/Th大幅提高到今年5月的33J/Th,相同工作量的能源消耗下降了63%。

該報告還估計比特幣網絡消耗13.4吉瓦(GW)的電力,比劍橋大學另類金融中心公布的常用估計值低13%。Coin Metrics的高級研究分析師Kyle Waters表示,專用集成電路挖礦機(ASIC)的競爭力“隨著時間的推移不斷變得越來越好”。[2023/7/27 16:00:57]

漏洞分析

由于 MM 在發布這個 Clickjacking 漏洞的時候并沒有詳細的說明,僅是解釋了這個漏洞的利用場景以及能夠產生的危害,所以我在進行復現的時候也遇到了挺多坑(各種盲猜漏洞點),所以為了讓大家能夠更好地順暢地理解整個漏洞,我在進行漏洞分析之前先補充下一個知識點。

Meta將在中國香港推出元宇宙試點:6月15日消息,Meta將在中國香港推出元宇宙試點,為當地 740 萬居民帶來虛擬體驗。Meta 公司周二表示,它將與當地的合作伙伴,如連鎖咖啡館、學校和藝術機構合作,在當地提供“第一手”元宇宙體驗,探索元宇宙在日常生活中的潛在用途。這將包括在當地咖啡館舉辦虛擬現實(VR)展覽,以及為教育工作者和中學生舉辦開放式增強現實(AR)培訓研討會。它還將與香港的本地創作者合作,在 Instagram 上分享他們的 NFT 項目。

此外,Meta 本周宣布,它將很快在其耳機產品 Quest 2 中推出虛擬空間 Horizon Home。另外,它將在法國設立元宇宙學院。(雅虎財經)[2022/6/15 4:28:24]

我們來了解下 Manifest - Web Accessible Resources。在瀏覽器擴展錢包中有這么一個配置:web_accessible_resources,其用來約束 Web 頁面能夠訪問到瀏覽器擴展的哪些資源,并且在默認的情況下是 Web 頁面訪問不到瀏覽器擴展中的資源文件,僅瀏覽器擴展的本身才能訪問到瀏覽器擴展的資源。簡而言之就是 http/https 等協議下的頁面默認是沒法訪問到 chrome-extension,當然如果擴展錢包配置了 web_accessible_resources 將擴展錢包內部的資源暴露出來,那么就能被 http/https 等協議下的頁面訪問到了。

加密托管公司Metaco與裝甲車生產商Brink's合作,以確保安全存儲私鑰:5月5日消息,裝甲車生產商Brink's與瑞士加密貨幣托管公司Metaco合作,在物理層面對數字資產托管提供保護措施。Metaco將把旗下賬戶私鑰的物理備份以分布式方式存儲在Brink's的多個保險庫。

Metaco戰略聯盟副總裁 Seamus Donoghue表示,在發生災難性故障的情況下,需要有一個備份,通常是以HSM(硬件安全模塊)智能卡的形式存在。代表客戶投資數十億的機構可以將備份的主密鑰分割并存儲在多個智能卡上,如果發生意外,可將其重組并加載到HSM中以恢復私鑰。(CoinDesk)[2022/5/5 2:52:45]

而 MM 擴展錢包在 10.14.6 之前的版本(本文以 10.14.5 為例)一直保留著 "web_accessible_resources": ["inpage.js", "phishing.html"] 的配置,而這個配置是漏洞得以被利用的一個關鍵點。

Razor Network上線ComethSwap,質押LP代幣可獲得MUST代幣獎勵:4月19日消息,去中心化預言機協議Razor Network宣布已上線ComethSwap,用戶可以通過質押RAZOR/WETH的流動性代幣(LPToken),以獲得Cometh Swap的MUST代幣獎勵。[2021/4/19 20:36:47]

然而在進行漏洞分析的時候,發現在 app/scripts/phishing-detect.js(v10.14.5) 中已經對釣魚頁面的跳轉做了協議的限制。(這里的限制在我的理解應該是還有其他的坑,畢竟 "web_accessible_resources": ["inpage.js", "phishing.html"]`這個配置還保留著)。

Metacartel Ventures合伙人:有消息稱Coinbase或在周五下架XRP:金色財經報道,Metacartel Ventures合伙人Adam Cochran發推文:有消息稱,Coinbase已經和律師討論過XRP的下架問題,似乎有兩個潛在的方案正在形成,其中一個方案將下架時間定在周五。尚不清楚會影響到Coinbase的哪些產品,但很可能是Coinbase和Coinbase Pro。[2020/12/24 16:22:51]

我們繼續跟進這個協議限制的改動時間點,發現是在如下這個 commit 中添加了這個限制,也就是說在 v10.14.1 之前由于沒有對跳轉的協議進行限制,導致 Clickjacking 漏洞可以輕易被利用。

相關的 commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

為了驗證代碼的分析過程,我們切換到 protocol 限制之前的版本 v10.14.0 進行測試,發現可以輕松復現整個攻擊過程。

但是在 MM 公開的報告中也提到,Clickjacking 漏洞是在 v10.14.6 進行了修復,所以 v10.14.5 是存在漏洞的,再繼續回頭看這里的猜想。(這里的限制在我的理解應該是還有其他的坑,畢竟 "web_accessible_resources": ["inpage.js", "phishing.html"] 這個配置還保留著)。

經過反復翻閱代碼,在 v10.14.5 以及之前版本的代碼,會在釣魚頁面提示的時候,如果用戶點擊了 continuing at your own risk. 之后就會將這個 hostname 加入到本地的白名單列表中。從而在下一次訪問到該網站的時候就不會再出現 MetaMask Phishing Detection 的提醒。

比如這個釣魚網站:ethstake.exchange,通過 iframe 標簽將釣魚網站嵌入到網頁中,然后利用 Clickjacking 漏洞就能將惡意的釣魚網站加入到白名單中,同時在用戶下一次訪問釣魚網站的時候 MM 不會再繼續彈出警告。

分析結論

如上述的分析過程,其實 MM 近期修復的是兩個 Clickjacking 漏洞,在復現過程中發現最新的 v10.14.6 已經將 web_accessible_resources 的相關配置移除了,徹底修復了 MetaMask Phishing Detection 頁面的點擊劫持的問題。

(1)利用 Clickjacking 漏洞誘導用戶進行轉賬的修復(影響版本:https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢霧安全團隊對 chrome 擴展商店中的各個知名的擴展錢包進行了 Clickjacking 的漏洞檢測,發現如下的錢包受到 Clickjacking 漏洞影響:

Coinbase Wallet (v2.17.2)

Coin98 Wallet (v6.0.6)

Maiar DeFi Wallet (v1.2.17)

慢霧安全團隊第一時間聯系項目方團隊,但是到目前為止部分項目方還未反饋,并且 MM 公開這個漏洞至今已經過去了 11 天。為了避免用戶因為該漏洞遭受損失,慢霧安全團隊選擇公開漏洞的分析。如果受影響的相關項目方看到這篇文章需要協助請聯系慢霧安全團隊。

慢霧安全團隊再次提醒瀏覽器擴展錢包項目方如果有基于 MetaMask

慢霧安全團隊建議普通用戶在項目方還未修復漏洞之前可以先暫時停止使用這些擴展錢包(在瀏覽器擴展程序管理中關閉這些擴展錢包),等待錢包官方發布修復版本后,用戶可以及時更新到已修復的版本進行使用。

Tags:METETAMETAINGmet幣跑路MetaMask51211版本MetaMask錢包官網BINGUS幣

ETH
一文讀懂 Web3 數據賽道獨角獸、破局者與未來之星_WEB:WEB3

如果說2021年科技領域的熱詞是元宇宙,那么今年的席位大概率會留給“Web3”,一時之間,各種科普、分析、展望、質疑紛至而來,這個名詞成為了當之無愧的流量密碼.

1900/1/1 0:00:00
晚間必讀5篇 | a16z 合伙人:對穩定幣、監管和加密市場崩盤的思考_COIN:OIN

進入6月以來,加密貨幣市場的暴跌進一步確定了熊市的到來。但不同加密公司有著不同的應對之道,有的決定大舉擴張,有的只能裁員收縮應對,正如老話所言:潮水退了才知道誰在裸泳.

1900/1/1 0:00:00
區塊鏈TPS的擴展性探索:為什么說BBP技術帶來卓越的性能改變?_區塊鏈:區塊鏈證據保全怎么操作視頻

區塊鏈在元宇宙和web3世界中是操作系統一樣的基礎設施,其性能決定了未來數字經濟的發展歷程。現階段,區塊鏈普遍存在著交易數據處理能力較弱的問題.

1900/1/1 0:00:00
Blofin: 美聯儲大幅加息后加密市場走勢 12月或是轉折點

考慮到目前日益惡化的通脹局面,美聯儲似乎別無選擇,只能進一步提升加息幅度,并通過持續加息推升無風險利率.

1900/1/1 0:00:00
一文對比主流公鏈流動性質押方案_SOL:ETH

當八音盒的音樂驟停,木馬停止了轉動,當流動性的節奏不能連續,金融市場則進入恐慌。近期,無論是Celisus引發的stETH流動性危機,還是交易所AEX因為資金期限錯配,短期流動性資金不足而暫停用.

1900/1/1 0:00:00
一文了解無狀態 Rollup_ROL:TROLLER幣

注:原文作者是 Alex Beckett,目前就職于 Celestia。全節點驗證區塊的方式,是通過下載所有交易并重新執行它們來檢查其有效性,毫不奇怪的是,更大的區塊會給全節點帶來更大的負擔,因.

1900/1/1 0:00:00
ads