背景

2024 年 6 月 3 日，推特用戶 @CryptoNakamao 發(fā)文講述其因下載惡意的 Chrome 擴展 Aggr 導致 100 萬美金被盜的經(jīng)過，引起廣大加密社區(qū)用戶對擴展風險的關注和自己加密資產(chǎn)安全性的擔憂。在 5 月 31 日，慢霧安全團隊發(fā)布了披著羊皮的狼｜虛假 Chrome 擴展盜竊分析一文，對惡意的 Aggr 擴展的作惡方式輸出了詳細分析。鑒于廣大用戶缺乏瀏覽器擴展的背景知識，慢霧首席信息安全官 23pds 在本文通過六問六答，講解擴展的基礎知識和潛在風險，提供應對擴展風險的建議，希望能幫助個人用戶和交易平臺提高保護賬戶和資產(chǎn)安全的能力。

https://x.com/im23pds/status/1797528115897626708

答疑

1. 什么是 Chrome 擴展？

Chrome 擴展 (Chrome Extension) 是為谷歌瀏覽器 (Google Chrome) 設計的插件，能夠擴展瀏覽器的功能和行為。它們可以自定義用戶的瀏覽體驗，添加新的特性或內(nèi)容，或者與網(wǎng)站交互。Chrome 擴展通常由 HTML、CSS、JavaScript 以及其他網(wǎng)頁技術構建。

Chrome 擴展的結構通常包括以下幾個部分：

• manifest.json：擴展的配置文件，定義了擴展的基本信息（如名稱、版本、權限等）。
• 背景腳本 (Background Scripts)：運行在瀏覽器后臺，處理事件和長期任務。
• 內(nèi)容腳本 (Content Scripts)：運行在網(wǎng)頁上下文中，能夠直接與網(wǎng)頁進行交互。
• 用戶界面 (UI)：如瀏覽器工具欄按鈕、彈出窗口、選項頁等。

2. Chrome 擴展有什么作用？

• 廣告攔截：擴展可以攔截和阻止網(wǎng)頁上的廣告，從而提高網(wǎng)頁加載速度和用戶體驗。例如，AdBlock 和 uBlock Origin。
• 隱私和安全：一些擴展可以增強用戶的隱私和安全性，如防止跟蹤、加密通信、管理密碼等。例如，Privacy Badger 和 LastPass。
• 生產(chǎn)力工具：擴展可以幫助用戶提高生產(chǎn)力，如管理任務、記筆記、時間跟蹤等。例如，Todoist 和 Evernote Web Clipper。
• 開發(fā)者工具：為網(wǎng)頁開發(fā)者提供調(diào)試和開發(fā)工具，如查看網(wǎng)頁結構、調(diào)試代碼、分析網(wǎng)絡請求等。例如，React Developer Tools 和 Postman。
• 社交媒體和通訊：擴展可以集成社交媒體和通訊工具，方便用戶在瀏覽網(wǎng)頁時處理社交媒體通知、消息等。例如，Grammarly 和 Facebook Messenger。
• 網(wǎng)頁定制：用戶可以通過擴展自定義網(wǎng)頁的外觀和行為，如更改主題、重新排列頁面元素、添加額外功能等。例如，Stylish 和 Tampermonkey。
• 自動化任務：擴展可以幫助用戶自動化重復性任務，如自動填寫表單、批量下載文件等。例如，iMacros 和 DownThemAll。
• 語言翻譯：一些擴展可以實時翻譯網(wǎng)頁內(nèi)容，幫助用戶理解不同語言的網(wǎng)頁，如 Google 翻譯。
• 加密貨幣輔助：擴展可以幫助用戶在加密貨幣交易時更加方便，如 MetaMask 等。

Chrome 擴展的靈活性和多樣性使得它們幾乎可以應用于任何瀏覽場景，幫助用戶更高效地完成各種任務。

3. Chrome 擴展安裝后有哪些權限？

Chrome 擴展在安裝后可能會請求一系列權限，以便執(zhí)行特定的功能。這些權限在擴展的 manifest.json 文件中聲明，并在安裝時提示用戶進行確認。常見的權限包括：

• <all_urls>：允許擴展訪問所有網(wǎng)站的內(nèi)容。這是一個廣泛的權限，允許擴展讀取和修改所有網(wǎng)站的數(shù)據(jù)。
• tabs：允許擴展訪問瀏覽器的標簽信息，包括獲取當前打開的標簽、創(chuàng)建和關閉標簽等。
• activeTab：允許擴展暫時訪問當前激活的標簽，通常用于在用戶點擊擴展按鈕時執(zhí)行特定操作。
• storage：允許擴展使用 Chrome 的存儲 API 來存儲和檢索數(shù)據(jù)。這可以用于保存擴展的設置、用戶數(shù)據(jù)等。
• cookies：允許擴展訪問和修改瀏覽器中的 cookies。
• webRequest 和 webRequestBlocking：允許擴展攔截和修改網(wǎng)絡請求。這些權限通常用于廣告攔截和隱私保護擴展。
• bookmarks：允許擴展訪問和修改瀏覽器的書簽。
• history：允許擴展訪問和修改瀏覽器的歷史記錄。
• notifications：允許擴展顯示桌面通知。
• contextMenus：允許擴展在瀏覽器的上下文菜單（右鍵菜單）中添加自定義菜單項。
• geolocation：允許擴展訪問用戶的地理位置信息。
• clipboardRead 和 clipboardWrite：允許擴展讀取和寫入剪貼板內(nèi)容。
• downloads：允許擴展管理下載，包括啟動、暫停和取消下載。
• management：允許擴展管理瀏覽器的其他擴展和應用程序。
• background：允許擴展在后臺運行長時間任務。
• notifications：允許擴展顯示系統(tǒng)通知。
• webNavigation：允許擴展監(jiān)控和修改瀏覽器的導航行為。

這些權限使得 Chrome 擴展能夠執(zhí)行許多強大和多樣的功能，但也意味著它們有可能訪問用戶的敏感數(shù)據(jù)，如 cookies 、認證信息等。

4. 為什么惡意的 Chrome 擴展可以盜取用戶權限？

惡意的 Chrome 擴展可以利用所請求的權限盜取用戶的權限和認證信息，因為這些擴展可以直接訪問和操作用戶的瀏覽器環(huán)境和數(shù)據(jù)。具體原因和方式如下：

• 廣泛的權限訪問：惡意擴展通常會請求大量的權限，如訪問所有網(wǎng)站 (<all_urls&gt?、讀取和修改瀏覽器標簽 (tabs)、訪問瀏覽器的存儲 (storage) 等。這些權限使得惡意擴展能夠廣泛地訪問用戶的瀏覽活動和數(shù)據(jù)。
• 操作網(wǎng)絡請求：惡意擴展可以使用 webRequest 和 webRequestBlocking 權限攔截和修改網(wǎng)絡請求，從而竊取用戶的認證信息和敏感數(shù)據(jù)。例如，它們可以在用戶登錄網(wǎng)站時攔截表單數(shù)據(jù)，獲取用戶名和密碼。
• 讀取和寫入頁面內(nèi)容：通過 content scripts，惡意擴展可以嵌入代碼到網(wǎng)頁中，讀取和修改頁面內(nèi)容。這意味著它們可以竊取用戶在網(wǎng)頁上輸入的任何數(shù)據(jù)，如表單信息、搜索查詢等。
• 訪問瀏覽器存儲：惡意擴展可以使用 storage 權限訪問和存儲用戶的本地數(shù)據(jù)，包括可能包含敏感信息的瀏覽器存儲（如 LocalStorage 和 IndexedDB）。
• 操作剪貼板：通過 clipboardRead 和 clipboardWrite 權限，惡意擴展可以讀取和寫入用戶的剪貼板內(nèi)容，從而竊取或篡改用戶復制粘貼的信息。
• 偽裝成合法網(wǎng)站：惡意擴展可以通過修改瀏覽器的內(nèi)容或重定向用戶訪問的網(wǎng)頁，偽裝成合法網(wǎng)站，誘導用戶輸入敏感信息。
• 長期后臺運行：具有 background 權限的惡意擴展可以在后臺持續(xù)運行，即使用戶沒有主動使用它們。這使得它們可以長時間監(jiān)控用戶的活動，收集大量數(shù)據(jù)。
• 操作下載：使用 downloads 權限，惡意擴展可以下載和執(zhí)行惡意文件，進一步危及用戶的系統(tǒng)安全。

5. 為什么這次惡意擴展的受害者會被盜取權限和資金受損？

因為這次惡意的 Aggr 擴展剛好獲得了上面我們聊到的背景信息，以下是這個惡意插件 manifes.json 文件 permissions 內(nèi)容片段：

• cookies
• tabs
• <all_urls>
• storage

6. 惡意 Chrome 擴展盜取用戶的 cookies 后，能做哪些操作？

• 訪問賬戶：惡意擴展可以使用盜取的 cookies 模擬用戶登錄交易平臺賬戶，從而訪問用戶的賬戶信息，包括余額、交易歷史等。
• 進行交易：盜取的 cookies 可能允許惡意擴展在未經(jīng)用戶同意的情況下進行交易，購買或出售加密貨幣，甚至將資產(chǎn)轉(zhuǎn)移到其他賬戶。
• 提取資金：如果 cookies 包含會話信息和認證令牌，惡意擴展可能繞過二次驗證 (2FA)，直接發(fā)起資金提取，將用戶的加密貨幣轉(zhuǎn)移到攻擊者控制的錢包中。
• 訪問敏感信息：惡意擴展可以訪問和收集用戶在交易平臺賬戶中的敏感信息，如身份驗證文件、地址等，可能用于進一步的身份盜竊或詐騙活動。
• 修改賬戶設置：惡意擴展可以更改用戶的賬戶設置，如綁定的電子郵件地址、手機號碼等，進一步控制賬戶和竊取更多信息。
• 冒充用戶進行社會工程攻擊：利用用戶賬戶進行社會工程攻擊，如向用戶的聯(lián)系人發(fā)送詐騙信息，誘導他們進行不安全的操作或提供更多敏感信息。

應對措施

看到這，廣大用戶可能會想，那怎么辦，直接斷網(wǎng)不玩了？用單獨的電腦做操作？不用網(wǎng)頁登陸平臺？網(wǎng)絡上出現(xiàn)了很多一棍子打死的說法，但其實我們可以學習如何合理防范這類風險：

個人用戶的應對措施：

• 增強個人安全意識：第一個防范建議是增強個人安全意識，始終保持懷疑的態(tài)度。
• 僅安裝可信來源的擴展：從 Chrome 網(wǎng)上應用店或其他可信來源安裝擴展，并閱讀用戶評價和權限請求，盡量不授予擴展不必要的訪問權限。
• 使用安全的瀏覽器環(huán)境：避免安裝不明來源的擴展，并定期審查和刪除不必要的擴展，安裝不同的瀏覽器，隔離插件瀏覽器和交易資金瀏覽器。
• 定期檢查賬戶活動：定期檢查賬戶登錄活動和交易記錄，發(fā)現(xiàn)可疑行為立即采取措施。
• 記得退出登錄：使用完網(wǎng)頁操作平臺后要記得退出。很多人為了方便，在登錄平臺完成操作后，不點擊退出登錄，這個習慣存在安全風險。
• 使用硬件錢包：對于大額資產(chǎn)，使用硬件錢包進行存儲，以提高安全性。
• 瀏覽器設置和安全工具：使用安全的瀏覽器設置和擴展（如廣告攔截器、隱私保護工具）減少惡意擴展的風險。
• 使用安全軟件：安裝和使用安全軟件來檢測和防止惡意擴展和其他惡意軟件作惡。

最后是給平臺的風控建議，通過這些措施，交易平臺可以降低惡意 Chrome 擴展給用戶帶來的安全風險：

強制使用二次驗證 (2FA)：

• 全局啟用 2FA：要求所有用戶在登錄和進行重要操作（如交易、下單、提取資金）時啟用二次驗證 (2FA)，確保即使用戶的 cookies 被盜，攻擊者也無法輕易訪問賬戶。
• 多種驗證方式：支持多種二次驗證方式，如短信、電子郵件、Google Authenticator 和硬件令牌等。

會話管理和安全：

• 設備管理：提供用戶查看和管理已登錄設備的功能，讓用戶可以隨時注銷不明設備的會話。
• 會話超時：實施會話超時策略，對長時間未活動的會話進行自動注銷，減少會話被盜用的風險。
• IP 地址和地理位置監(jiān)控：檢測和提醒用戶來自異常 IP 地址或地理位置的登錄嘗試，并在必要時阻止這些登錄。

強化賬戶安全設置：

• 安全通知：即時向用戶發(fā)送有關賬戶登錄、密碼更改、資金提取等重要操作的通知，可以通過郵件或短信提醒用戶異常活動。
• 賬戶凍結功能：提供緊急情況下用戶可以快速凍結賬戶的選項，控制受損范圍。

加強監(jiān)控和風控系統(tǒng)：

• 異常行為檢測：使用機器學習和大數(shù)據(jù)分析監(jiān)控用戶行為，識別異常交易模式和賬戶活動，及時進行風控干預。
• 風控預警：對頻繁更改賬戶信息、頻繁嘗試登錄失敗等可疑行為進行預警和限制。

為用戶提供安全教育和工具：

• 安全教育：通過官方社交賬號、電子郵件、平臺內(nèi)通知等渠道向用戶普及安全知識，提示用戶注意瀏覽器擴展的風險和如何保護賬戶。
• 安全工具：提供官方的瀏覽器插件或擴展，幫助用戶增強賬戶安全，檢測并提醒用戶可能存在的安全威脅。

結語

坦白說，從技術的角度來看，很多時候把上文提到的風控措施都做了，可能并不是最好的方式。安全和業(yè)務需要平衡，安全太重，用戶體驗會不好，比如下單時需要二次認證，很多用戶為了下單快，索性關掉！ 結果是方便了自己也方便了黑客，因為一旦 cookies 被盜，不能提幣，黑客就可以玩對敲，造成用戶資產(chǎn)受損。所以針對不同的平臺和用戶，采取風控的方式也不相同。至于安全與業(yè)務的平衡點在哪，不同的平臺有不同的考量，希望平臺在考慮用戶體驗的同時，也能保護好用戶賬戶和資產(chǎn)的安全。

道路千萬條，安全第一條。慢霧安全團隊建議廣大用戶裝軟件、沖土狗、裝插件前，請思考 3 秒，先問問自己這對不對，安不安全，然后再操作，盡量避免故事變成事故。