ING:MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析_AMA

背景概述

2022年6月3日，MetaMask公开了白帽子发现的一个严重的Clickjacking漏洞，这个漏洞可以造成的影响是：在用户的MM插件钱包处于解锁状态，用户访问恶意的站点时，站点可以利用iframe标签将解锁的MM插件钱包页面嵌入到网页中并进行隐藏，然后引导用户在网站上进行点击操作，实际上是在MM解锁的页面中进行操作，从而盗取用户的数字货币或藏品等相关资产。鉴于MM的用户体量较大，且ForkMetaMask插件钱包的项目也比较多，因此在MM公开这个漏洞后，我们立即开始对这个漏洞进行复现，然后开始搜寻这个漏洞对于其他ForkMetaMask项目的影响。

随后，慢雾安全团队尽可能地通知受到影响的项目方，并引导项目方进行修复。现在将这个Clickjacking漏洞的分析公开出来避免后续的项目踩坑。

漏洞分析

由于MM在发布这个Clickjacking漏洞的时候并没有详细的说明，仅是解释了这个漏洞的利用场景以及能够产生的危害，所以我在进行复现的时候也遇到了挺多坑，所以为了让大家能够更好地顺畅地理解整个漏洞，我在进行漏洞分析之前先补充下一个知识点。

币安宣布聘请Rachel Conlan担任全球营销副总裁:金色财经报道，币安今日宣布已聘请Rachel Conlan担任该组织的全球营销副总裁。Conlan将领导Binance的全球营销和品牌活动，作为币安的全球营销副总裁，Conlan将向何一汇报工作，并监督该组织在全球的区域和全球营销人员。除了监督全球和区域营销团队外，Conlan还将推动公司的品牌合作伙伴关系和娱乐资产。

据悉，Rachel Conlan此前担任OKX品牌和合作伙伴关系的全球负责人。[2023/6/5 21:17:27]

我们来了解下Manifest-WebAccessibleResources。在浏览器扩展钱包中有这么一个配置：web_accessible_resources，其用来约束Web页面能够访问到浏览器扩展的哪些资源，并且在默认的情况下是Web页面访问不到浏览器扩展中的资源文件，仅浏览器扩展的本身才能访问到浏览器扩展的资源。简而言之就是http/https等协议下的页面默认是没法访问到chrome-extension，当然如果扩展钱包配置了web_accessible_resources将扩展钱包内部的资源暴露出来，那么就能被http/https等协议下的页面访问到了。

数据：BTC平均交易规模达近3年内低点:金色财经报道，据glassnode alerts数据监测显示，BTC平均交易规模 (7d MA) 达到近3年内低点，为458.610。[2023/5/7 14:48:26]

而MM扩展钱包在10.14.6之前的版本一直保留着"web_accessible_resources":的配置，而这个配置是漏洞得以被利用的一个关键点。

然而在进行漏洞分析的时候，发现在app/scripts/phishing-detect.js(v10.14.5)中已经对钓鱼页面的跳转做了协议的限制。。

邬贺铨：未来元宇宙数据将存储在云上:金色财经报道，中国工程院院士邬贺铨30日在2022中国算力大会期间接受采访表示，数字孪生是把实物映射到网上，而元宇宙是反过来的，先想虚拟化的东西，再使其落地。届时，存储量非常大，超过终端的存储能力，也超过一些企业计算中心的存储能力。未来元宇宙数据将存储在云上，这就要求从云到终端的网络传输非常快，速率大概比现在的5G要快100倍。此外，元宇宙对算力也提出更高要求，如要求延时非常低。因此，目前元宇宙的努力重点还是VR/AR。

邬贺铨表示，未来的元宇宙，以及现在的自动驾驶等应用，会消耗大量计算，这需要芯片的支撑，除CPU、GPU等，AI(人工智能)芯片还有很大空间，这也给中国企业提供了新的机遇。目前中国AI芯片公司的产品在全球的市场份额仅在5%左右，希望国内企业抓住这次机会，构建基于AI芯片的生态，包括芯片、算法、终端等。[2022/7/31 2:48:57]

FTX.US总裁：加密市场会以更快速度复苏:6月21日消息，FTX.US 总裁 Brett Harrison发推表示，加密市场会以更快的速度复苏，并列出了三个刺激市场反弹的要素，分别是：

1、美国监管者给出明确性的监管；

2、更稳健的加密期权/期货市场；

3、美国批准现货加密 ETF ；

Brett Harrison 指出，美国加密货币交易平台和其他数字资产提供商的监管明确性将使机构投资者有信心长期押注加密资产；更稳健的加密期货和期权市场也将有助于引入机构资本，通过提供资本有效对冲来抑制波动，并使公司更容易获得加密资产敞口；而现货比特币 ETF 的批准可能会带来另一场牛市，尽管目前美国证券交易委员会尚未批准此类产品。[2022/6/21 4:42:11]

我们继续跟进这个协议限制的改动时间点，发现是在如下这个commit中添加了这个限制，也就是说在v10.14.1之前由于没有对跳转的协议进行限制，导致Clickjacking漏洞可以轻易被利用。

加密矿企OLB Group Q1营收同比增长3倍，达878.6万美元:5月16日消息，金融科技电商服务提供商和加密矿企OLB Group宣布在2022年第一季度实现创纪录的收入。由于收购和有机增长，第一季度营收同比增长3倍，从2226404美元增至8786460美元。这一期间的其他重点包括：

- 2021年第一季度调整后的EBITDA（息税折旧摊销前利润）为989,570美元，而去年Q1为-689,685美元；

- 截至2022年3月31日，公司总资产4500万美元；

- 截至2022年3月31日的现金余额约为400万美元；

- 除了以约75万美元购买100台矿机的设备租赁外，没有任何债务。（Business Wire）[2022/5/16 3:20:01]

相关的commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

为了验证代码的分析过程，我们切换到protocol限制之前的版本v10.14.0进行测试，发现可以轻松复现整个攻击过程。

但是在MM公开的报告中也提到，Clickjacking漏洞是在v10.14.6进行了修复，所以v10.14.5是存在漏洞的，再继续回头看这里的猜想。。

经过反复翻阅代码，在v10.14.5以及之前版本的代码，会在钓鱼页面提示的时候，如果用户点击了continuingatyourownrisk.之后就会将这个hostname加入到本地的白名单列表中。从而在下一次访问到该网站的时候就不会再出现MetaMaskPhishingDetection的提醒。

比如这个钓鱼网站：ethstake.exchange，通过iframe标签将钓鱼网站嵌入到网页中，然后利用Clickjacking漏洞就能将恶意的钓鱼网站加入到白名单中，同时在用户下一次访问钓鱼网站的时候MM不会再继续弹出警告。

分析结论

如上述的分析过程，其实MM近期修复的是两个Clickjacking漏洞，在复现过程中发现最新的v10.14.6已经将web_accessible_resources的相关配置移除了，彻底修复了MetaMaskPhishingDetection页面的点击劫持的问题。

利用Clickjacking漏洞诱导用户进行转账的修复：

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

利用Clickjacking漏洞将钓鱼网站加入到白名单的修复：

https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢雾安全团队对chrome扩展商店中的各个知名的扩展钱包进行了Clickjacking的漏洞检测，发现如下的钱包受到Clickjacking漏洞影响：

CoinbaseWallet(v2.17.2)

Coin98Wallet(v6.0.6)

MaiarDeFiWallet(v1.2.17)

慢雾安全团队第一时间联系项目方团队，但是到目前为止部分项目方还未反馈，并且MM公开这个漏洞至今已经过去了11天。为了避免用户因为该漏洞遭受损失，慢雾安全团队选择公开漏洞的分析。如果受影响的相关项目方看到这篇文章需要协助请联系慢雾安全团队。

慢雾安全团队再次提醒浏览器扩展钱包项目方如果有基于MetaMask

慢雾安全团队建议普通用户在项目方还未修复漏洞之前可以先暂时停止使用这些扩展钱包，等待钱包官方发布修复版本后，用户可以及时更新到已修复的版本进行使用。

来源：金色财经

标签：INGAMASMETAMABORING价格metamask下载安装DOGEMETAAMAx币今天价格

XRP热门资讯