背景

2024 年 6 月 3 日，推特用戶 @CryptoNakamao 發(fā)文講述其因下載惡意的 Chrome 擴(kuò)展 Aggr 導(dǎo)致 100 萬(wàn)美金被盜的經(jīng)過，引起廣大加密社區(qū)用戶對(duì)擴(kuò)展風(fēng)險(xiǎn)的關(guān)注和自己加密資產(chǎn)安全性的擔(dān)憂。在 5 月 31 日，慢霧安全團(tuán)隊(duì)發(fā)布了披著羊皮的狼｜虛假 Chrome 擴(kuò)展盜竊分析一文，對(duì)惡意的 Aggr 擴(kuò)展的作惡方式輸出了詳細(xì)分析。鑒于廣大用戶缺乏瀏覽器擴(kuò)展的背景知識(shí)，慢霧首席信息安全官 23pds 在本文通過六問六答，講解擴(kuò)展的基礎(chǔ)知識(shí)和潛在風(fēng)險(xiǎn)，提供應(yīng)對(duì)擴(kuò)展風(fēng)險(xiǎn)的建議，希望能幫助個(gè)人用戶和交易平臺(tái)提高保護(hù)賬戶和資產(chǎn)安全的能力。

https://x.com/im23pds/status/1797528115897626708

答疑

1. 什么是 Chrome 擴(kuò)展？

Chrome 擴(kuò)展 (Chrome Extension) 是為谷歌瀏覽器 (Google Chrome) 設(shè)計(jì)的插件，能夠擴(kuò)展瀏覽器的功能和行為。它們可以自定義用戶的瀏覽體驗(yàn)，添加新的特性或內(nèi)容，或者與網(wǎng)站交互。Chrome 擴(kuò)展通常由 HTML、CSS、JavaScript 以及其他網(wǎng)頁(yè)技術(shù)構(gòu)建。

Chrome 擴(kuò)展的結(jié)構(gòu)通常包括以下幾個(gè)部分：

• manifest.json：擴(kuò)展的配置文件，定義了擴(kuò)展的基本信息（如名稱、版本、權(quán)限等）。
• 背景腳本 (Background Scripts)：運(yùn)行在瀏覽器后臺(tái)，處理事件和長(zhǎng)期任務(wù)。
• 內(nèi)容腳本 (Content Scripts)：運(yùn)行在網(wǎng)頁(yè)上下文中，能夠直接與網(wǎng)頁(yè)進(jìn)行交互。
• 用戶界面 (UI)：如瀏覽器工具欄按鈕、彈出窗口、選項(xiàng)頁(yè)等。

2. Chrome 擴(kuò)展有什么作用？

• 廣告攔截：擴(kuò)展可以攔截和阻止網(wǎng)頁(yè)上的廣告，從而提高網(wǎng)頁(yè)加載速度和用戶體驗(yàn)。例如，AdBlock 和 uBlock Origin。
• 隱私和安全：一些擴(kuò)展可以增強(qiáng)用戶的隱私和安全性，如防止跟蹤、加密通信、管理密碼等。例如，Privacy Badger 和 LastPass。
• 生產(chǎn)力工具：擴(kuò)展可以幫助用戶提高生產(chǎn)力，如管理任務(wù)、記筆記、時(shí)間跟蹤等。例如，Todoist 和 Evernote Web Clipper。
• 開發(fā)者工具：為網(wǎng)頁(yè)開發(fā)者提供調(diào)試和開發(fā)工具，如查看網(wǎng)頁(yè)結(jié)構(gòu)、調(diào)試代碼、分析網(wǎng)絡(luò)請(qǐng)求等。例如，React Developer Tools 和 Postman。
• 社交媒體和通訊：擴(kuò)展可以集成社交媒體和通訊工具，方便用戶在瀏覽網(wǎng)頁(yè)時(shí)處理社交媒體通知、消息等。例如，Grammarly 和 Facebook Messenger。
• 網(wǎng)頁(yè)定制：用戶可以通過擴(kuò)展自定義網(wǎng)頁(yè)的外觀和行為，如更改主題、重新排列頁(yè)面元素、添加額外功能等。例如，Stylish 和 Tampermonkey。
• 自動(dòng)化任務(wù)：擴(kuò)展可以幫助用戶自動(dòng)化重復(fù)性任務(wù)，如自動(dòng)填寫表單、批量下載文件等。例如，iMacros 和 DownThemAll。
• 語(yǔ)言翻譯：一些擴(kuò)展可以實(shí)時(shí)翻譯網(wǎng)頁(yè)內(nèi)容，幫助用戶理解不同語(yǔ)言的網(wǎng)頁(yè)，如 Google 翻譯。
• 加密貨幣輔助：擴(kuò)展可以幫助用戶在加密貨幣交易時(shí)更加方便，如 MetaMask 等。

Chrome 擴(kuò)展的靈活性和多樣性使得它們幾乎可以應(yīng)用于任何瀏覽場(chǎng)景，幫助用戶更高效地完成各種任務(wù)。

3. Chrome 擴(kuò)展安裝后有哪些權(quán)限？

Chrome 擴(kuò)展在安裝后可能會(huì)請(qǐng)求一系列權(quán)限，以便執(zhí)行特定的功能。這些權(quán)限在擴(kuò)展的 manifest.json 文件中聲明，并在安裝時(shí)提示用戶進(jìn)行確認(rèn)。常見的權(quán)限包括：

• <all_urls>：允許擴(kuò)展訪問所有網(wǎng)站的內(nèi)容。這是一個(gè)廣泛的權(quán)限，允許擴(kuò)展讀取和修改所有網(wǎng)站的數(shù)據(jù)。
• tabs：允許擴(kuò)展訪問瀏覽器的標(biāo)簽信息，包括獲取當(dāng)前打開的標(biāo)簽、創(chuàng)建和關(guān)閉標(biāo)簽等。
• activeTab：允許擴(kuò)展暫時(shí)訪問當(dāng)前激活的標(biāo)簽，通常用于在用戶點(diǎn)擊擴(kuò)展按鈕時(shí)執(zhí)行特定操作。
• storage：允許擴(kuò)展使用 Chrome 的存儲(chǔ) API 來(lái)存儲(chǔ)和檢索數(shù)據(jù)。這可以用于保存擴(kuò)展的設(shè)置、用戶數(shù)據(jù)等。
• cookies：允許擴(kuò)展訪問和修改瀏覽器中的 cookies。
• webRequest 和 webRequestBlocking：允許擴(kuò)展攔截和修改網(wǎng)絡(luò)請(qǐng)求。這些權(quán)限通常用于廣告攔截和隱私保護(hù)擴(kuò)展。
• bookmarks：允許擴(kuò)展訪問和修改瀏覽器的書簽。
• history：允許擴(kuò)展訪問和修改瀏覽器的歷史記錄。
• notifications：允許擴(kuò)展顯示桌面通知。
• contextMenus：允許擴(kuò)展在瀏覽器的上下文菜單（右鍵菜單）中添加自定義菜單項(xiàng)。
• geolocation：允許擴(kuò)展訪問用戶的地理位置信息。
• clipboardRead 和 clipboardWrite：允許擴(kuò)展讀取和寫入剪貼板內(nèi)容。
• downloads：允許擴(kuò)展管理下載，包括啟動(dòng)、暫停和取消下載。
• management：允許擴(kuò)展管理瀏覽器的其他擴(kuò)展和應(yīng)用程序。
• background：允許擴(kuò)展在后臺(tái)運(yùn)行長(zhǎng)時(shí)間任務(wù)。
• notifications：允許擴(kuò)展顯示系統(tǒng)通知。
• webNavigation：允許擴(kuò)展監(jiān)控和修改瀏覽器的導(dǎo)航行為。

這些權(quán)限使得 Chrome 擴(kuò)展能夠執(zhí)行許多強(qiáng)大和多樣的功能，但也意味著它們有可能訪問用戶的敏感數(shù)據(jù)，如 cookies 、認(rèn)證信息等。

4. 為什么惡意的 Chrome 擴(kuò)展可以盜取用戶權(quán)限？

惡意的 Chrome 擴(kuò)展可以利用所請(qǐng)求的權(quán)限盜取用戶的權(quán)限和認(rèn)證信息，因?yàn)檫@些擴(kuò)展可以直接訪問和操作用戶的瀏覽器環(huán)境和數(shù)據(jù)。具體原因和方式如下：

• 廣泛的權(quán)限訪問：惡意擴(kuò)展通常會(huì)請(qǐng)求大量的權(quán)限，如訪問所有網(wǎng)站 (<all_urls&gt?、讀取和修改瀏覽器標(biāo)簽 (tabs)、訪問瀏覽器的存儲(chǔ) (storage) 等。這些權(quán)限使得惡意擴(kuò)展能夠廣泛地訪問用戶的瀏覽活動(dòng)和數(shù)據(jù)。
• 操作網(wǎng)絡(luò)請(qǐng)求：惡意擴(kuò)展可以使用 webRequest 和 webRequestBlocking 權(quán)限攔截和修改網(wǎng)絡(luò)請(qǐng)求，從而竊取用戶的認(rèn)證信息和敏感數(shù)據(jù)。例如，它們可以在用戶登錄網(wǎng)站時(shí)攔截表單數(shù)據(jù)，獲取用戶名和密碼。
• 讀取和寫入頁(yè)面內(nèi)容：通過 content scripts，惡意擴(kuò)展可以嵌入代碼到網(wǎng)頁(yè)中，讀取和修改頁(yè)面內(nèi)容。這意味著它們可以竊取用戶在網(wǎng)頁(yè)上輸入的任何數(shù)據(jù)，如表單信息、搜索查詢等。
• 訪問瀏覽器存儲(chǔ)：惡意擴(kuò)展可以使用 storage 權(quán)限訪問和存儲(chǔ)用戶的本地?cái)?shù)據(jù)，包括可能包含敏感信息的瀏覽器存儲(chǔ)（如 LocalStorage 和 IndexedDB）。
• 操作剪貼板：通過 clipboardRead 和 clipboardWrite 權(quán)限，惡意擴(kuò)展可以讀取和寫入用戶的剪貼板內(nèi)容，從而竊取或篡改用戶復(fù)制粘貼的信息。
• 偽裝成合法網(wǎng)站：惡意擴(kuò)展可以通過修改瀏覽器的內(nèi)容或重定向用戶訪問的網(wǎng)頁(yè)，偽裝成合法網(wǎng)站，誘導(dǎo)用戶輸入敏感信息。
• 長(zhǎng)期后臺(tái)運(yùn)行：具有 background 權(quán)限的惡意擴(kuò)展可以在后臺(tái)持續(xù)運(yùn)行，即使用戶沒有主動(dòng)使用它們。這使得它們可以長(zhǎng)時(shí)間監(jiān)控用戶的活動(dòng)，收集大量數(shù)據(jù)。
• 操作下載：使用 downloads 權(quán)限，惡意擴(kuò)展可以下載和執(zhí)行惡意文件，進(jìn)一步危及用戶的系統(tǒng)安全。

5. 為什么這次惡意擴(kuò)展的受害者會(huì)被盜取權(quán)限和資金受損？

因?yàn)檫@次惡意的 Aggr 擴(kuò)展剛好獲得了上面我們聊到的背景信息，以下是這個(gè)惡意插件 manifes.json 文件 permissions 內(nèi)容片段：

• cookies
• tabs
• <all_urls>
• storage

6. 惡意 Chrome 擴(kuò)展盜取用戶的 cookies 后，能做哪些操作？

• 訪問賬戶：惡意擴(kuò)展可以使用盜取的 cookies 模擬用戶登錄交易平臺(tái)賬戶，從而訪問用戶的賬戶信息，包括余額、交易歷史等。
• 進(jìn)行交易：盜取的 cookies 可能允許惡意擴(kuò)展在未經(jīng)用戶同意的情況下進(jìn)行交易，購(gòu)買或出售加密貨幣，甚至將資產(chǎn)轉(zhuǎn)移到其他賬戶。
• 提取資金：如果 cookies 包含會(huì)話信息和認(rèn)證令牌，惡意擴(kuò)展可能繞過二次驗(yàn)證 (2FA)，直接發(fā)起資金提取，將用戶的加密貨幣轉(zhuǎn)移到攻擊者控制的錢包中。
• 訪問敏感信息：惡意擴(kuò)展可以訪問和收集用戶在交易平臺(tái)賬戶中的敏感信息，如身份驗(yàn)證文件、地址等，可能用于進(jìn)一步的身份盜竊或詐騙活動(dòng)。
• 修改賬戶設(shè)置：惡意擴(kuò)展可以更改用戶的賬戶設(shè)置，如綁定的電子郵件地址、手機(jī)號(hào)碼等，進(jìn)一步控制賬戶和竊取更多信息。
• 冒充用戶進(jìn)行社會(huì)工程攻擊：利用用戶賬戶進(jìn)行社會(huì)工程攻擊，如向用戶的聯(lián)系人發(fā)送詐騙信息，誘導(dǎo)他們進(jìn)行不安全的操作或提供更多敏感信息。

應(yīng)對(duì)措施

看到這，廣大用戶可能會(huì)想，那怎么辦，直接斷網(wǎng)不玩了？用單獨(dú)的電腦做操作？不用網(wǎng)頁(yè)登陸平臺(tái)？網(wǎng)絡(luò)上出現(xiàn)了很多一棍子打死的說法，但其實(shí)我們可以學(xué)習(xí)如何合理防范這類風(fēng)險(xiǎn)：

個(gè)人用戶的應(yīng)對(duì)措施：

• 增強(qiáng)個(gè)人安全意識(shí)：第一個(gè)防范建議是增強(qiáng)個(gè)人安全意識(shí)，始終保持懷疑的態(tài)度。
• 僅安裝可信來(lái)源的擴(kuò)展：從 Chrome 網(wǎng)上應(yīng)用店或其他可信來(lái)源安裝擴(kuò)展，并閱讀用戶評(píng)價(jià)和權(quán)限請(qǐng)求，盡量不授予擴(kuò)展不必要的訪問權(quán)限。
• 使用安全的瀏覽器環(huán)境：避免安裝不明來(lái)源的擴(kuò)展，并定期審查和刪除不必要的擴(kuò)展，安裝不同的瀏覽器，隔離插件瀏覽器和交易資金瀏覽器。
• 定期檢查賬戶活動(dòng)：定期檢查賬戶登錄活動(dòng)和交易記錄，發(fā)現(xiàn)可疑行為立即采取措施。
• 記得退出登錄：使用完網(wǎng)頁(yè)操作平臺(tái)后要記得退出。很多人為了方便，在登錄平臺(tái)完成操作后，不點(diǎn)擊退出登錄，這個(gè)習(xí)慣存在安全風(fēng)險(xiǎn)。
• 使用硬件錢包：對(duì)于大額資產(chǎn)，使用硬件錢包進(jìn)行存儲(chǔ)，以提高安全性。
• 瀏覽器設(shè)置和安全工具：使用安全的瀏覽器設(shè)置和擴(kuò)展（如廣告攔截器、隱私保護(hù)工具）減少惡意擴(kuò)展的風(fēng)險(xiǎn)。
• 使用安全軟件：安裝和使用安全軟件來(lái)檢測(cè)和防止惡意擴(kuò)展和其他惡意軟件作惡。

最后是給平臺(tái)的風(fēng)控建議，通過這些措施，交易平臺(tái)可以降低惡意 Chrome 擴(kuò)展給用戶帶來(lái)的安全風(fēng)險(xiǎn)：

強(qiáng)制使用二次驗(yàn)證 (2FA)：

• 全局啟用 2FA：要求所有用戶在登錄和進(jìn)行重要操作（如交易、下單、提取資金）時(shí)啟用二次驗(yàn)證 (2FA)，確保即使用戶的 cookies 被盜，攻擊者也無(wú)法輕易訪問賬戶。
• 多種驗(yàn)證方式：支持多種二次驗(yàn)證方式，如短信、電子郵件、Google Authenticator 和硬件令牌等。

會(huì)話管理和安全：

• 設(shè)備管理：提供用戶查看和管理已登錄設(shè)備的功能，讓用戶可以隨時(shí)注銷不明設(shè)備的會(huì)話。
• 會(huì)話超時(shí)：實(shí)施會(huì)話超時(shí)策略，對(duì)長(zhǎng)時(shí)間未活動(dòng)的會(huì)話進(jìn)行自動(dòng)注銷，減少會(huì)話被盜用的風(fēng)險(xiǎn)。
• IP 地址和地理位置監(jiān)控：檢測(cè)和提醒用戶來(lái)自異常 IP 地址或地理位置的登錄嘗試，并在必要時(shí)阻止這些登錄。

強(qiáng)化賬戶安全設(shè)置：

• 安全通知：即時(shí)向用戶發(fā)送有關(guān)賬戶登錄、密碼更改、資金提取等重要操作的通知，可以通過郵件或短信提醒用戶異常活動(dòng)。
• 賬戶凍結(jié)功能：提供緊急情況下用戶可以快速凍結(jié)賬戶的選項(xiàng)，控制受損范圍。

加強(qiáng)監(jiān)控和風(fēng)控系統(tǒng)：

• 異常行為檢測(cè)：使用機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析監(jiān)控用戶行為，識(shí)別異常交易模式和賬戶活動(dòng)，及時(shí)進(jìn)行風(fēng)控干預(yù)。
• 風(fēng)控預(yù)警：對(duì)頻繁更改賬戶信息、頻繁嘗試登錄失敗等可疑行為進(jìn)行預(yù)警和限制。

為用戶提供安全教育和工具：

• 安全教育：通過官方社交賬號(hào)、電子郵件、平臺(tái)內(nèi)通知等渠道向用戶普及安全知識(shí)，提示用戶注意瀏覽器擴(kuò)展的風(fēng)險(xiǎn)和如何保護(hù)賬戶。
• 安全工具：提供官方的瀏覽器插件或擴(kuò)展，幫助用戶增強(qiáng)賬戶安全，檢測(cè)并提醒用戶可能存在的安全威脅。

結(jié)語(yǔ)

坦白說，從技術(shù)的角度來(lái)看，很多時(shí)候把上文提到的風(fēng)控措施都做了，可能并不是最好的方式。安全和業(yè)務(wù)需要平衡，安全太重，用戶體驗(yàn)會(huì)不好，比如下單時(shí)需要二次認(rèn)證，很多用戶為了下單快，索性關(guān)掉！ 結(jié)果是方便了自己也方便了黑客，因?yàn)橐坏?cookies 被盜，不能提幣，黑客就可以玩對(duì)敲，造成用戶資產(chǎn)受損。所以針對(duì)不同的平臺(tái)和用戶，采取風(fēng)控的方式也不相同。至于安全與業(yè)務(wù)的平衡點(diǎn)在哪，不同的平臺(tái)有不同的考量，希望平臺(tái)在考慮用戶體驗(yàn)的同時(shí)，也能保護(hù)好用戶賬戶和資產(chǎn)的安全。

道路千萬(wàn)條，安全第一條。慢霧安全團(tuán)隊(duì)建議廣大用戶裝軟件、沖土狗、裝插件前，請(qǐng)思考 3 秒，先問問自己這對(duì)不對(duì)，安不安全，然后再操作，盡量避免故事變成事故。