Web3安全解析：一個小小的Chrome擴展如何導致百萬美元的損失?

背景

2024年6月3日，Twitter用戶 @CryptoNakamao分享了由於下載惡意的 Chrome 擴展 Aggr 導致損失 100 萬美元的經歷，引發了加密社區對擴展風險和自己資產安全的擔憂。 5 月 31 日，SlowMist Security Team 發布了一篇名為“狼穿羊皮 | 偷竊假 Chrome 擴展分析”的分析，詳細說明了 Aggr 擴展的惡意行為。 鑑於用戶對瀏覽器擴展的背景知識不足，SlowMist 的首席信息安全官 23pds 在文章中使用了問答形式來解釋擴展的基本知識和潛在風險。 他們還提供了減輕擴展風險的建議，旨在幫助個人用戶和交易平台增強其帳戶和資產的安全性。

(https://x.com/im23pds/status/1797528115897626708)

Q&A

1. Chrome 擴充功能是什麼？

Chrome 擴展是專為 Google Chrome 設計的插件，用於擴展瀏覽器的功能和行為。這些擴展可以自定義用戶的瀏覽體驗，添加新功能或內容，並與網站進行交互。Chrome 擴展通常使用 HTML、CSS、JavaScript 和其他網絡技術構建。Chrome 擴展的結構通常包括以下組件:

1. manifest.json：擴展的配置文件，定義基本資訊，如名稱、版本、權限等。
2. 背景腳本：在瀏覽器背景中運行的腳本，處理事件和長期任務。
3. 內容腳本：運行在網頁上下文中的腳本，允許直接與網頁互動。
4. 用戶界面（UI）：包括瀏覽器工具欄按鈕、彈出窗口、選項頁等元素。

2. Chrome 擴展功能是什麼？

1. 廣告攔截器：能夠攔截和阻擋網頁上的廣告，從而提高頁面加載速度和用戶體驗的擴展。例如 AdBlock 和 uBlock Origin。
2. 隱私和安全：一些擴展功能通過防止追蹤、加密通信、管理密碼等方式增強用戶的隱私和安全。例如 Privacy Badger 和 LastPass。
3. 生產力工具：幫助用戶提高生產力的擴展，如任務管理、筆記、時間追蹤等。例如Todoist和Evernote網頁剪貼簿。
4. 開發人員工具：為網頁開發人員提供調試和開發功能的工具，如檢查網頁結構、調試代碼、分析網絡請求等。例如包括 React 開發人員工具和 Postman。
5. 社交媒體和通訊：整合社交媒體和通訊工具的擴展，允許用戶在瀏覽時處理社交媒體通知、訊息等。例如Grammarly和Facebook Messenger。
6. Web自訂：使用者可以使用擴充功能自訂網頁的外觀和行為，例如更改主題、重新排列頁面元素、添加額外功能等。例子包括Stylish和Tampermonkey。
7. 自動化任務: 延伸功能可幫助自動執行重複性任務，如填寫表格、批量下載文件等。示例包括 iMacros 和 DownThemAll。
8. 語言翻譯：一些擴展可以實時翻譯網頁內容，幫助用戶理解不同語言的網頁，例如 Google 翻譯。
9. 加密貨幣協助：這些擴展能夠讓使用者更輕鬆地進行加密貨幣交易，例如MetaMask等。

Chrome 擴充功能的靈活性和多樣性使其適用於幾乎任何瀏覽情境，幫助用戶更高效地完成任務。

3. 安裝後的 Chrome 擴充功能有什麼權限？

安裝完成後，Chrome 擴充功能可能會要求一系列權限以執行特定功能。這些權限在擴充功能的 manifest.json 檔案中聲明，並在安裝期間提示使用者進行確認。常見的權限包括：

1. <all_urls>：允許擴展程式存取所有網站的內容。這種廣泛的權限使擴展程式能夠讀取和修改所有網站上的數據。
2. tabs：允許擴展程式訪問有關瀏覽器標籤的信息，包括訪問當前打開的標籤，創建和關閉標籤等。
3. activeTab：允許擴展程式暫時訪問當前活動選項卡，通常用於在使用者點擊擴展程式按鈕時執行特定操作。
4. 存儲：允許擴展使用Chrome的存儲API來存儲和檢索數據。這可以用於保存擴展設置，用戶數據等。
5. cookies：允許擴展程式存取並修改瀏覽器中的 cookies。
6. webRequest和webRequestBlocking：允許擴展截取並修改網絡請求。這些權限通常用於廣告封鎖和隱私保護擴展。
7. 書籤: 允許擴展程式訪問和修改瀏覽器的書籤。
8. 歷史: 允許擴展訪問並修改瀏覽器的歷史記錄。
9. 通知：允許擴展程式顯示桌面通知。
10. contextMenus：允許擴展程式將自訂選單項目新增至瀏覽器的內容選單（右鍵選單）。
11. 地理位置：允許擴展程序訪問使用者的地理位置信息。
12. clipboardRead和clipboardWrite：允許擴展從剪貼板讀取和寫入。
13. 下載：允許擴展程式管理下載，包括啟動、暫停和取消下載。
14. 管理：允許擴展程式管理瀏覽器中的其他擴展程式和應用程式。
15. background: 允許擴展程式在後台執行長時間任務。
16. 通知: 允許擴展顯示系統通知。
17. webNavigation：允許擴展程式監控和修改瀏覽器的導航行為。

這些權限使得Chrome擴展能夠執行許多強大而多樣的功能，但也意味著擴展可能會訪問敏感用戶數據，如cookies、驗證信息等。

4.惡意Chrome擴展為什麼能竊取使用者權限？

惡意的Chrome擴展可以利用所要求的權限來竊取用戶的憑據和身份驗證信息，因為這些擴展可以直接訪問並操縱用戶的瀏覽器環境和數據。

1. 廣泛的訪問：惡意擴展程序通常會要求廣泛的權限，如訪問所有網站（<all_urls>），閱讀和修改瀏覽器選項卡（選項卡），以及訪問瀏覽器存儲（存儲）。這些權限允許惡意擴展程序廣泛訪問用戶的瀏覽活動和數據。
2. 操縱網絡請求：惡意擴展可以使用 webRequest 和 webRequestBlocking 權限來攔截和修改網絡請求，從而竊取用戶的身份驗證信息和敏感數據。例如，它們可以在用戶登錄網站時攔截表單數據，以獲取用戶名和密碼。
3. 閱讀和編寫頁面內容：通過內容腳本，惡意擴展可以將代碼嵌入網頁中以讀取和修改頁面內容。這意味著它們可以竊取用戶在網頁上輸入的任何數據，例如表單信息和搜索查詢。
4. 存取瀏覽器儲存空間：惡意擴展程式可以使用儲存空間權限來存取和儲存使用者的本地數據，包括可能包含敏感信息的瀏覽器儲存空間（如LocalStorage和IndexedDB）。
5. 操作剪貼簿：擁有clipboardRead和clipboardWrite權限的惡意擴展可以讀取和寫入用戶的剪貼簿內容，從而窃取或篡改用戶復制和粘貼的信息。
6. 偽裝成合法網站：惡意擴展可以通過修改瀏覽器內容或將用戶重定向到偽造的頁面來偽裝成合法網站，從而欺騙用戶輸入敏感信息。
7. 在背景運行長時間：具有背景權限的惡意擴展可以持續在背景運行，即使使用者並未主動使用它們。這使它們能夠長時間監控使用者活動並收集大量數據。
8. 操縱下載：使用下載權限，惡意擴展程式可以下載和執行惡意檔案，進一步危害使用者系統安全。

5. 為什麼這個惡意擴展的受害者會失去權限並且資金被破壞？

因為這個惡意的Aggr擴展程式碰巧獲取了我們剛剛討論的背景資訊，所以這裡是它的manifest.json文件中的權限部分的片段：

1. 餅乾
2. 標籤
3. <all_urls>
4. 存儲

6.偷取用戶cookies後，惡意的Chrome擴展可以做些什麼？

1. 存取帳戶：惡意擴充程式可以使用被盜的 cookie 來模擬使用者登錄加密貨幣交易平台，從而存取使用者的帳戶信息，包括餘額和交易歷史。
2. 執行交易：被盜的 cookies 可能允許惡意擴展未經使用者同意進行交易，購買或出售加密貨幣，或將資產轉移到其他帳戶。
3. 提款：如果 cookie 包含會話資訊和驗證令牌，惡意擴展可能會繞過雙因素驗證（2FA）並發起提款，將用戶的加密貨幣轉移到攻擊者控制的錢包。
4. 存取敏感資訊：惡意擴充功能可以存取並收集使用者交易平台帳戶中的敏感資訊，如驗證文件和地址，可能被進一步用於身份盜竊或詐騙活動。
5. 修改帳戶設定：惡意擴展程式可以更改用戶的帳戶設定，例如綁定的電子郵件地址和手機號碼，進一步控制帳戶並竊取更多資訊。
6. 偽裝用戶進行社交工程攻擊：使用用戶帳戶進行社交工程攻擊，例如向用戶的聯絡人發送欺詐訊息，引誘他們進行不安全操作或提供更敏感的信息。

回應

看到這一點，許多用戶可能會想知道，“我應該怎麼辦？我應該只是斷開互聯網，並完全停止使用它嗎？我應該使用一台獨立的電腦進行操作嗎？我應該避免通過網頁登錄平台嗎？”在線上有許多極端的建議，但實際上，我們可以學習如何合理地防止這樣的風險：

個人用戶的減緩措施：

1. 增強個人安全意識：第一個預防建議是增強個人安全意識，並始終保持懷疑的態度。
2. 僅從可信任的來源安裝擴展程式：從Chrome網上應用商店或其他可信任的來源安裝擴展程式，閱讀用戶評論和權限要求，避免授予擴展程式不必要的訪問權限。
3. 使用安全的瀏覽環境：避免安裝來自未知來源的擴充功能，定期檢閱並刪除不必要的擴充功能，考慮使用不同的瀏覽器來隔離插件瀏覽和資金交易瀏覽。
4. 定期監控帳戶活動：定期檢查帳戶登錄活動和交易記錄，並在檢測到可疑行為時立即採取行動。
5. 記得登出：在使用網站平台後，請記得登出。許多人在完成操作後為了方便，經常忽略點擊“登出”，這可能會帶來安全風險。
6. 使用硬體錢包:對於大量資產，使用硬體錢包進行存儲以增強安全性。
7. 瀏覽器設置和安全工具：使用安全的瀏覽器設置和擴展（如廣告攔截器和隱私保護工具）來減少惡意擴展的風險。
8. 使用安全軟件：安裝並使用安全軟件來檢測和防止惡意擴展和其他惡意軟體。

平台的最終風險控制建議：通過實施這些措施，交易平台可以減少惡意Chrome擴展對用戶造成的安全風險：

強制使用雙因素認證（2FA）:

• 全球啟用雙重驗證：要求所有使用者在登錄和重要操作（如交易、下單和資金提取）時啟用雙重驗證（2FA），確保即使使用者的 Cookie 被盜取，攻擊者也無法輕易訪問帳戶。

• 多種身份驗譁方法：支援多種2FA方法，如簡訊、電子郵件、Google驗證器和硬體令牌。

會話管理和安全性:

• 設備管理: 為使用者提供檢視和管理已登入裝置的能力，讓他們隨時登出未被識別的裝置。

• 會話超時: 實施會話超時策略，自動登出閒置會話，降低會話劫持的風險。

• IP 地址和地理位置監控：如果檢測到來自不尋常的 IP 地址或地理位置的登錄嘗試，則警告用戶並在必要時封鎖這些登錄。=

加強帳戶安全設置:

• 安全通知：及時通過電子郵件或短信通知用戶重要操作，如帳戶登錄、密碼更改和資金提取，以警示用戶注意可疑活動。

• 帳戶凍結功能：為用戶提供一個選項，在緊急情況下快速凍結他們的帳戶以控制損害。

加強監控和風險控制系統：

• 異常行為檢測：使用機器學習和大數據分析來監控用戶行為，識別異常交易模式和帳戶活動，及時干預風險控制。

• 風險警告：提醒並限制可疑活動，如帳戶信息經常更改或登錄嘗試失敗頻繁。

為用戶提供安全教育和工具：

• 安全教育：透過官方社交媒體帳號、電子郵件、平台通知等向用戶傳播安全知識，提高他們對瀏覽器擴展風險以及如何保護帳戶的警覺。

• 安全工具：提供官方瀏覽器插件或擴展，幫助用戶增強帳戶安全性，並檢測和警示用戶可能的安全威脅。

結論

坦白地说，从技术角度来看，实施之前提到的风险控制措施并不总是最佳的方法。平衡安全和业务需求至关重要；过于强调安全可能会降低用户体验。例如，在下订单时要求第二因素身份验证可能会导致许多用户将其禁用以便更快地进行交易。这种方便性对用户来说也有利，但同时也使黑客受益，因为窃取的 Cookie 可能使他们能够操纵交易并危害用户资产。因此，不同的平台和用户可能需要不同的风险管理方法。在平衡安全和业务目标方面，各个平台之间存在差异，平台必须优先考虑用户体验并保护用户账户和资产。

免責聲明：

1. 本文轉載自 [PANews]. 所有版權屬於原作者 [Slow Mist 技術]. 如果对此转载有异议，请联系Gate 學習團隊，他們會迅速處理。
2. 責任聲明：本文所表達的觀點和意見僅代表作者個人觀點，並不構成任何投資建議。
3. 文章的翻譯工作由Gate Learn團隊完成。除非特別提及，否則複製、分發或抄襲翻譯的文章是被禁止的。