月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 波场 > 正文

MET:MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析_ETA

作者:

时间:1900/1/1 0:00:00

背景概述

2022 年 6 月 3 日,MetaMask(MM)公开了白帽子发现的一个严重的 Clickjacking 漏洞,这个漏洞可以造成的影响是:在用户的 MM 插件钱包处于解锁状态,用户访问恶意的站点时,站点可以利用 iframe 标签将解锁的 MM 插件钱包页面嵌入到网页中并进行隐藏,然后引导用户在网站上进行点击操作,实际上是在 MM 解锁的页面中进行操作,从而盗取用户的数字货币或藏品等相关资产。鉴于 MM 的用户体量较大,且 Fork MetaMask 插件钱包的项目也比较多,因此在 MM 公开这个漏洞后,我们立即开始对这个漏洞进行复现,然后开始搜寻这个漏洞对于其他 Fork MetaMask 项目的影响。

随后,慢雾安全团队尽可能地通知受到影响的项目方,并引导项目方进行修复。现在将这个 Clickjacking 漏洞的分析公开出来避免后续的项目踩坑。

“Web3 X to Earn”公司FUTURE STAR完成1.4亿美元融资,Metaverse Tech等参投:金色财经报道,“Web3 X to Earn” 公司 FUTURE STAR宣布完成 1.4 亿美元融资,Metaverse Tech、LNK、SkyG和MW9等参投。该公司现在拥有100多项媒体领域核心专利,而且持有迪拜核心数字货币交易所牌照和美国MSB数字货币交易牌照,他们将利用这笔资金拓展Web3元宇宙广告生态,同时为用户提供更多“X to Earn”选择,让每一位用户成为移动媒体公司并成为可以自获利润的“流量池”,通过贡献“关注”和流量获得基于数字资产的经济激励。(digitaljournal)[2022/10/1 18:36:54]

漏洞分析

由于 MM 在发布这个 Clickjacking 漏洞的时候并没有详细的说明,仅是解释了这个漏洞的利用场景以及能够产生的危害,所以我在进行复现的时候也遇到了挺多坑(各种盲猜漏洞点),所以为了让大家能够更好地顺畅地理解整个漏洞,我在进行漏洞分析之前先补充下一个知识点。

Meta未能按计划在巴西推出WhatsApp支付服务:金色财经报道,多位知情人士称,由于与潜在支付合作伙伴存在分歧,Meta未能按计划在巴西推出WhatsApp支付服务。知情人士称,WhatsApp原计划于去年底在巴西推出商家支付服务(p2m),这将是WhatsApp在全球范围内首次推出支付功能。然而,到目前为止,WhatsApp仍难以当地合作伙伴(帮助推出服务,并处理电子支付)签约,且还要等待巴西央行的批准。巴西是WhatsApp的第二大市场,拥有1.2亿用户。[2022/4/21 14:37:47]

我们来了解下 Manifest - Web Accessible Resources。在浏览器扩展钱包中有这么一个配置:web_accessible_resources,其用来约束 Web 页面能够访问到浏览器扩展的哪些资源,并且在默认的情况下是 Web 页面访问不到浏览器扩展中的资源文件,仅浏览器扩展的本身才能访问到浏览器扩展的资源。简而言之就是 http/https 等协议下的页面默认是没法访问到 chrome-extension,当然如果扩展钱包配置了 web_accessible_resources 将扩展钱包内部的资源暴露出来,那么就能被 http/https 等协议下的页面访问到了。

Metis将推出由社群共同完成NFT艺术品的活动:据官方消息,Layer2 DAO基础协议Metis将于美东时间4月21日11:00正式开启由社群共同完成NFT艺术品“重修巴别塔”的活动,旨在进一步阐述在Web 3.0时代经济体运行的基本方式。

参与活动的社群成员可以领取盲盒,预留代表挖取Metis Token不同算力的NFT,并可以通过注册自定义名字的部落,邀请朋友加入的方式提升NFT的算力。此次NFT空投限量2000个,全部NFT被社群成员预留后,将自动转入认领环节,前256位认领NFT的部落将获得一块拼图,并协作完成“重修巴别塔”的NFT艺术品拼接工作。拼图中将记录所有参与的部落信息、成员信息、地理位置等,并将在OpenSea进行拍卖,拍卖所得将由该作品的艺术家(StarCloud AI)和参与的256个社群共同分享。[2021/4/21 20:45:02]

而 MM 扩展钱包在 10.14.6 之前的版本(本文以 10.14.5 为例)一直保留着 "web_accessible_resources": ["inpage.js", "phishing.html"] 的配置,而这个配置是漏洞得以被利用的一个关键点。

动态 | Craig Wright博士推出改变游戏规则的Metanet:据coincryptorama消息,nChain首席科学家Craig Wright推出Metanet项目。该项目本质上是一个商品分类账,旨在把所有东西都放在一个区块链中,它将改变游戏规则,目的是要创建成互联网的替代品,使互联网成为一个副链。[2018/12/2]

然而在进行漏洞分析的时候,发现在 app/scripts/phishing-detect.js(v10.14.5) 中已经对钓鱼页面的跳转做了协议的限制。(这里的限制在我的理解应该是还有其他的坑,毕竟 "web_accessible_resources": ["inpage.js", "phishing.html"]`这个配置还保留着)。

动态 | 以太坊钱包MetaMask将333ETH列入黑名单:据CryptoGlobe消息,以太坊钱包MetaMask近日将以太坊上受欢迎的DApp 333ETH列入了黑名单,并将其标记为“主动”。使用MetaMask并前往333ETH地址的用户目前能收到关于该应用程序的警告消息。MetaMask声称他们的安全性可能存在风险,因为333ETH“在以太坊网络钓鱼探测器上测试为阳性”,包括恶意和受感染的网站。鉴于警告,用户目前无法使用MetaMask网站。它的开发者已经明确表示,他们将增加一种绕过封锁的能力,因为他们“无意促进审查”。[2018/9/29]

我们继续跟进这个协议限制的改动时间点,发现是在如下这个 commit 中添加了这个限制,也就是说在 v10.14.1 之前由于没有对跳转的协议进行限制,导致 Clickjacking 漏洞可以轻易被利用。

相关的 commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

为了验证代码的分析过程,我们切换到 protocol 限制之前的版本 v10.14.0 进行测试,发现可以轻松复现整个攻击过程。

但是在 MM 公开的报告中也提到,Clickjacking 漏洞是在 v10.14.6 进行了修复,所以 v10.14.5 是存在漏洞的,再继续回头看这里的猜想。(这里的限制在我的理解应该是还有其他的坑,毕竟 "web_accessible_resources": ["inpage.js", "phishing.html"] 这个配置还保留着)。

经过反复翻阅代码,在 v10.14.5 以及之前版本的代码,会在钓鱼页面提示的时候,如果用户点击了 continuing at your own risk. 之后就会将这个 hostname 加入到本地的白名单列表中。从而在下一次访问到该网站的时候就不会再出现 MetaMask Phishing Detection 的提醒。

比如这个钓鱼网站:ethstake.exchange,通过 iframe 标签将钓鱼网站嵌入到网页中,然后利用 Clickjacking 漏洞就能将恶意的钓鱼网站加入到白名单中,同时在用户下一次访问钓鱼网站的时候 MM 不会再继续弹出警告。

分析结论

如上述的分析过程,其实 MM 近期修复的是两个 Clickjacking 漏洞,在复现过程中发现最新的 v10.14.6 已经将 web_accessible_resources 的相关配置移除了,彻底修复了 MetaMask Phishing Detection 页面的点击劫持的问题。

(1)利用 Clickjacking 漏洞诱导用户进行转账的修复(影响版本:https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢雾安全团队对 chrome 扩展商店中的各个知名的扩展钱包进行了 Clickjacking 的漏洞检测,发现如下的钱包受到 Clickjacking 漏洞影响:

Coinbase Wallet (v2.17.2)

Coin98 Wallet (v6.0.6)

Maiar DeFi Wallet (v1.2.17)

慢雾安全团队第一时间联系项目方团队,但是到目前为止部分项目方还未反馈,并且 MM 公开这个漏洞至今已经过去了 11 天。为了避免用户因为该漏洞遭受损失,慢雾安全团队选择公开漏洞的分析。如果受影响的相关项目方看到这篇文章需要协助请联系慢雾安全团队。

慢雾安全团队再次提醒浏览器扩展钱包项目方如果有基于 MetaMask

慢雾安全团队建议普通用户在项目方还未修复漏洞之前可以先暂时停止使用这些扩展钱包(在浏览器扩展程序管理中关闭这些扩展钱包),等待钱包官方发布修复版本后,用户可以及时更新到已修复的版本进行使用。

标签:METETAMETAAMAMETAD币Dry Doge MetaverseMetaVersusamazy币怎么样

波场热门资讯
加密货币:17 种加密货币投资风格 如何找到适合自己的?_togetherbnb为什么恐怖

原文标题:《17 种加密货币投资风格,你属于哪种?》在我来看,加密货币的投资风格可以分成 17 种.

1900/1/1 0:00:00
比特币:金色观察 | 风投资金下降矿工收入减少 加密经济飓风来袭?_比特币目前市值总额

从市场数据来看,短期内,加密下跌的趋势和影响仍在持续。据区块链分析公司Glassnode最新数据显示,BTC钱包增长和活跃实体均出现停滞.

1900/1/1 0:00:00
加密货币:金色前哨 | 美联储称近一半美国加密投资者是高收入人群_BSP

美联储发布的关于2021年“美国家庭的经济福祉”的年度报告称,美国人的加密货币拥有水平在高收入群体中明显更高.

1900/1/1 0:00:00
ETH:Three Arrows Capital 大败局:以太坊巨鲸身陷流动性危机_STE

曾经在加密世界此诧风云的明星机构,正拿着被清算的号码牌。加密市场陷入恐慌,利空正逐渐兑现。Luna 崩盘、Celsius 资不抵债、stETH 脱锚…… 伴随着一系列的坏消息,市场不断触及新低,

1900/1/1 0:00:00
Layer 2竞争格局分析: 生态资源和L2性能是核心竞争力

如同操作系统,公链 (和L2) 最大的壁垒是网络效应,以太坊依然会保持垄断地位具备正统性性能又远高于以太坊的L2很可能会引起以太坊项目的大规模迁移L2的竞争要素是生态资源,L2性能.

1900/1/1 0:00:00
TOKEN:梳理加密Token经济5年趋势 Token分配是如何迭代的?_KEN

考虑在加密市场推出 Token?抑或将未来的 Token 授予员工和投资者?我们对最新的通证经济学基准和趋势进行了一些分析,以帮助您规划您的关键 Token 决策.

1900/1/1 0:00:00