Browser Extension Pentesting Methodology

```javascript var port = chrome.runtime.connect();

// Listen for messages from the web page window.addEventListener("message", (event) => { // Only accept messages from the same window if (event.source !== window) { return; }

// Check if the message type is "FROM_PAGE" if (event.data.type && (event.data.type === "FROM_PAGE")) { console.log("Content script received: " + event.data.text); // Forward the message to the background script port.postMessage({ type: 'FROM_PAGE', text: event.data.text }); } }, false);

// Listen for messages from the background script port.onMessage.addListener(function(msg) { console.log("Content script received message from background script:", msg); // Handle the response message from the background script });

</details>

También es posible enviar mensajes desde un script de fondo a un script de contenido ubicado en una pestaña específica llamando a **`chrome.tabs.sendMessage`** donde necesitarás indicar el **ID de la pestaña** a la que enviar el mensaje.

### Desde `externally_connectable` permitido a la extensión

**Las aplicaciones web y las extensiones de navegador externas permitidas** en la configuración de `externally_connectable` pueden enviar solicitudes usando :
```javascript
chrome.runtime.sendMessage(extensionId, ...

Donde es necesario mencionar el extension ID.

Mensajería Nativa

Es posible que los scripts de fondo se comuniquen con binarios dentro del sistema, lo que podría ser propenso a vulnerabilidades críticas como RCEs si esta comunicación no está debidamente asegurada. Más sobre esto más tarde.

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

Web ↔︎ Comunicación entre Scripts de Contenido

Los entornos donde operan los scripts de contenido y donde existen las páginas anfitrionas están separados entre sí, asegurando aislamiento. A pesar de este aislamiento, ambos tienen la capacidad de interactuar con el Modelo de Objetos del Documento (DOM) de la página, un recurso compartido. Para que la página anfitriona participe en la comunicación con el script de contenido, o indirectamente con la extensión a través del script de contenido, se requiere utilizar el DOM que es accesible por ambas partes como canal de comunicación.

Mensajes Post

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect();

window.addEventListener("message", (event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return;
}

if (event.data.type && (event.data.type === "FROM_PAGE")) {
console.log("Content script received: " + event.data.text);
// Forward the message to the background script
port.postMessage(event.data.text);
}
}, false);

document.getElementById("theButton").addEventListener("click", () => {
window.postMessage(
{type : "FROM_PAGE", text : "Hello from the webpage!"}, "*");
}, false);

Una comunicación segura de Post Message debe verificar la autenticidad del mensaje recibido, esto se puede hacer verificando:

• event.isTrusted: Esto es Verdadero solo si el evento fue desencadenado por una acción del usuario.

• El script de contenido podría estar esperando un mensaje solo si el usuario realiza alguna acción.

• dominio de origen: podría estar esperando un mensaje solo de una lista permitida de dominios.

• Si se utiliza una expresión regular, ten mucho cuidado.

• Fuente: received_message.source !== window se puede usar para verificar si el mensaje fue desde la misma ventana donde el Script de Contenido está escuchando.

Las verificaciones anteriores, incluso si se realizan, podrían ser vulnerables, así que verifica en la siguiente página posibles bypasses de Post Message:

Iframe

Otra posible forma de comunicación podría ser a través de URLs de Iframe, puedes encontrar un ejemplo en:

DOM

Esto no es "exactamente" una forma de comunicación, pero el web y el script de contenido tendrán acceso al DOM web. Así que, si el script de contenido está leyendo alguna información de él, confiando en el DOM web, el web podría modificar estos datos (porque el web no debería ser confiable, o porque el web es vulnerable a XSS) y comprometer el Script de Contenido.

También puedes encontrar un ejemplo de un XSS basado en DOM para comprometer una extensión de navegador en:

Comunicación entre Script de Contenido ↔︎ Script de Fondo

Un Script de Contenido puede usar las funciones runtime.sendMessage() o tabs.sendMessage() para enviar un mensaje serializable en JSON de una sola vez.

Para manejar la respuesta, usa la Promesa devuelta. Aunque, por compatibilidad hacia atrás, aún puedes pasar un callback como el último argumento.

Enviar una solicitud desde un script de contenido se ve así:

(async () => {
const response = await chrome.runtime.sendMessage({greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Enviando una solicitud desde la extensión (generalmente un script de fondo). Ejemplo de cómo enviar un mensaje al script de contenido en la pestaña seleccionada:

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
(async () => {
const [tab] = await chrome.tabs.query({active: true, lastFocusedWindow: true});
const response = await chrome.tabs.sendMessage(tab.id, {greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

En el lado receptor, necesitas configurar un runtime.onMessage escuchador de eventos para manejar el mensaje. Esto se ve igual desde un script de contenido o una página de extensión.

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(
function(request, sender, sendResponse) {
console.log(sender.tab ?
"from a content script:" + sender.tab.url :
"from the extension");
if (request.greeting === "hello")
sendResponse({farewell: "goodbye"});
}
);

En el ejemplo destacado, sendResponse() se ejecutó de manera sincrónica. Para modificar el controlador de eventos onMessage para la ejecución asincrónica de sendResponse(), es imperativo incorporar return true;.

Una consideración importante es que en escenarios donde múltiples páginas están configuradas para recibir eventos onMessage, la primera página en ejecutar sendResponse() para un evento específico será la única capaz de entregar la respuesta de manera efectiva. Cualquier respuesta posterior al mismo evento no será tenida en cuenta.

Al crear nuevas extensiones, la preferencia debe ser hacia promesas en lugar de callbacks. Con respecto al uso de callbacks, la función sendResponse() se considera válida solo si se ejecuta directamente dentro del contexto sincrónico, o si el controlador de eventos indica una operación asincrónica al devolver true. Si ninguno de los controladores devuelve true o si la función sendResponse() se elimina de la memoria (recolectada por el garbage collector), el callback asociado con la función sendMessage() se activará por defecto.

Native Messaging

Las extensiones del navegador también permiten comunicarse con binarios en el sistema a través de stdin. La aplicación debe instalar un json que indique esto en un json como:

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

Donde el name es la cadena pasada a runtime.connectNative() o runtime.sendNativeMessage() para comunicarse con la aplicación desde los scripts de fondo de la extensión del navegador. El path es la ruta al binario, solo hay 1 type válido que es stdio (usar stdin y stdout) y los allowed_origins indican las extensiones que pueden acceder a él (y no pueden tener comodín).

Chrome/Chromium buscará este json en algunos registros de Windows y algunas rutas en macOS y Linux (más información en los docs).

La extensión del navegador también necesita el permiso nativeMessaing declarado para poder usar esta comunicación.

Así es como se ve un código de script de fondo enviando mensajes a una aplicación nativa:

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

En esta publicación del blog, se propone un patrón vulnerable que abusa de los mensajes nativos:

1. La extensión del navegador tiene un patrón comodín para el script de contenido.

2. El script de contenido pasa mensajes postMessage al script de fondo usando sendMessage.

3. El script de fondo pasa el mensaje a la aplicación nativa usando sendNativeMessage.

4. La aplicación nativa maneja el mensaje de manera peligrosa, lo que lleva a la ejecución de código.

Y dentro de esto se explica un ejemplo de cómo ir de cualquier página a RCE abusando de una extensión del navegador.

Información Sensible en Memoria/Código/Portapapeles

Si una Extensión del Navegador almacena información sensible dentro de su memoria, esto podría ser volcado (especialmente en máquinas Windows) y buscado para esta información.

Por lo tanto, la memoria de la Extensión del Navegador no debe considerarse segura y la información sensible como credenciales o frases mnemotécnicas no debe ser almacenada.

Por supuesto, no ponga información sensible en el código, ya que será pública.

Para volcar la memoria del navegador, podría volcar la memoria del proceso o ir a la configuración de la extensión del navegador y hacer clic en Inspeccionar pop-up -> En la sección Memoria -> Tomar un instantáneo y CTRL+F para buscar dentro del instantáneo información sensible.

Además, información altamente sensible como claves mnemotécnicas o contraseñas no debería permitirse que se copien en el portapapeles (o al menos eliminarla del portapapeles en unos segundos) porque entonces los procesos que monitorean el portapapeles podrán obtenerlas.

Cargando una Extensión en el Navegador

1. Descargue la Extensión del Navegador y descomprímala.

2. Vaya a chrome://extensions/ y active el Modo de Desarrollador.

3. Haga clic en el botón Cargar descomprimido.

En Firefox, vaya a about:debugging#/runtime/this-firefox y haga clic en el botón Cargar complemento temporal.

Obteniendo el código fuente de la tienda

El código fuente de una extensión de Chrome se puede obtener a través de varios métodos. A continuación se detallan explicaciones e instrucciones para cada opción.

Descargar Extensión como ZIP a través de la Línea de Comandos

El código fuente de una extensión de Chrome se puede descargar como un archivo ZIP utilizando la línea de comandos. Esto implica usar curl para obtener el archivo ZIP de una URL específica y luego extraer el contenido del archivo ZIP a un directorio. Aquí están los pasos:

1. Reemplace "extension_id" con el ID real de la extensión.

2. Ejecute los siguientes comandos:

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

Usa el sitio web CRX Viewer

https://robwu.nl/crxviewer/

Usa la extensión CRX Viewer

Otro método conveniente es usar el Chrome Extension Source Viewer, que es un proyecto de código abierto. Se puede instalar desde la Chrome Web Store. El código fuente del visor está disponible en su repositorio de GitHub.

Ver el código fuente de la extensión instalada localmente

Las extensiones de Chrome instaladas localmente también se pueden inspeccionar. Aquí te explicamos cómo:

1. Accede a tu directorio de perfil local de Chrome visitando chrome://version/ y localizando el campo "Profile Path".

2. Navega a la subcarpeta Extensions/ dentro del directorio del perfil.

3. Esta carpeta contiene todas las extensiones instaladas, típicamente con su código fuente en un formato legible.

Para identificar extensiones, puedes mapear sus IDs a nombres:

• Habilita el Modo Desarrollador en la página about:extensions para ver los IDs de cada extensión.

• Dentro de la carpeta de cada extensión, el archivo manifest.json contiene un campo name legible, ayudándote a identificar la extensión.

Usa un archivador de archivos o descompresor

Ve a la Chrome Web Store y descarga la extensión. El archivo tendrá una extensión .crx. Cambia la extensión del archivo de .crx a .zip. Usa cualquier archivador de archivos (como WinRAR, 7-Zip, etc.) para extraer el contenido del archivo ZIP.

Usa el Modo Desarrollador en Chrome

Abre Chrome y ve a chrome://extensions/. Habilita "Modo desarrollador" en la parte superior derecha. Haz clic en "Cargar extensión descomprimida...". Navega al directorio de tu extensión. Esto no descarga el código fuente, pero es útil para ver y modificar el código de una extensión ya descargada o desarrollada.

Conjunto de datos del manifiesto de la extensión de Chrome

Para intentar detectar extensiones de navegador vulnerables, podrías usar el https://github.com/palant/chrome-extension-manifests-dataset y revisar sus archivos de manifiesto en busca de señales potencialmente vulnerables. Por ejemplo, para verificar extensiones con más de 25000 usuarios, content_scripts y el permiso nativeMessaing:

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

Lista de Verificación de Auditoría de Seguridad

Aunque las extensiones de navegador tienen una superficie de ataque limitada, algunas de ellas pueden contener vulnerabilidades o mejoras de endurecimiento potenciales. Las siguientes son las más comunes:

• Limitar tanto como sea posible los permisos solicitados

• Limitar tanto como sea posible los host_permissions

• Usar una política de seguridad de contenido content_security_policy fuerte

• Limitar tanto como sea posible el externally_connectable, si no se necesita y es posible, no dejarlo por defecto, especificar {}

• Si se menciona aquí una URL vulnerable a XSS o a toma de control, un atacante podrá enviar mensajes a los scripts de fondo directamente. Un bypass muy poderoso.

• Limitar tanto como sea posible los web_accessible_resources, incluso vacíos si es posible.

• Si web_accessible_resources no es ninguno, verificar ClickJacking

• Si ocurre alguna comunicación de la extensión a la página web, verificar XSS vulnerabilidades causadas en la comunicación.

• Si se utilizan Post Messages, verificar vulnerabilidades de Post Message.

• Si el Content Script accede a detalles del DOM, verificar que no estén introduciendo un XSS si son modificados por la web

• Hacer un énfasis especial si esta comunicación también está involucrada en la comunicación de Content Script -> script de fondo

• Si el script de fondo se comunica a través de native messaging, verificar que la comunicación sea segura y esté saneada

• La información sensible no debe ser almacenada dentro del código de la extensión del navegador

• La información sensible no debe ser almacenada dentro de la memoria de la extensión del navegador

• La información sensible no debe ser almacenada dentro del sistema de archivos sin protección

Herramientas

Tarnish

• Extrae cualquier extensión de Chrome de un enlace proporcionado de la tienda web de Chrome.

• Visor de manifest.json: simplemente muestra una versión JSON formateada del manifiesto de la extensión.

• Análisis de huellas digitales: Detección de web_accessible_resources y generación automática de JavaScript de huellas digitales de extensiones de Chrome.

• Análisis de Clickjacking potencial: Detección de páginas HTML de extensiones con la directiva web_accessible_resources establecida. Estas son potencialmente vulnerables a clickjacking dependiendo del propósito de las páginas.

• Visor de advertencias de permisos: que muestra una lista de todas las advertencias de permisos de Chrome que se mostrarán cuando un usuario intente instalar la extensión.

• Función(es) peligrosa(s): muestra la ubicación de funciones peligrosas que podrían ser potencialmente explotadas por un atacante (por ejemplo, funciones como innerHTML, chrome.tabs.executeScript).

• Punto(s) de entrada: muestra dónde la extensión recibe entrada de usuario/externa. Esto es útil para entender la superficie de una extensión y buscar puntos potenciales para enviar datos maliciosamente elaborados a la extensión.

• Tanto los escáneres de Función(es) Peligrosa(s) como de Punto(s) de Entrada tienen lo siguiente para sus alertas generadas:

• Fragmento de código relevante y línea que causó la alerta.

• Descripción del problema.

• Un botón de “Ver Archivo” para ver el archivo fuente completo que contiene el código.

• La ruta del archivo alertado.

• La URI completa de la extensión de Chrome del archivo alertado.

• El tipo de archivo que es, como un script de Página de Fondo, Script de Contenido, Acción del Navegador, etc.

• Si la línea vulnerable está en un archivo JavaScript, las rutas de todas las páginas donde está incluida, así como el tipo de estas páginas y el estado de web_accessible_resource.

• Analizador de Política de Seguridad de Contenido (CSP) y verificador de bypass: Esto señalará debilidades en la CSP de su extensión y también iluminará cualquier forma potencial de eludir su CSP debido a CDNs en la lista blanca, etc.

• Bibliotecas Vulnerables Conocidas: Esto utiliza Retire.js para verificar cualquier uso de bibliotecas JavaScript conocidas como vulnerables.

• Descargar extensión y versiones formateadas.

• Descargar la extensión original.

• Descargar una versión embellecida de la extensión (HTML y JavaScript auto formateados).

• Caché automática de resultados de escaneo, ejecutar un escaneo de extensión tomará un buen tiempo la primera vez que lo ejecute. Sin embargo, la segunda vez, suponiendo que la extensión no ha sido actualizada, será casi instantáneo debido a que los resultados están en caché.

• URLs de informes enlazables, fácilmente enlazar a alguien más a un informe de extensión generado por tarnish.

Neto

El proyecto Neto es un paquete de Python 3 concebido para analizar y desentrañar características ocultas de plugins y extensiones de navegador para navegadores bien conocidos como Firefox y Chrome. Automatiza el proceso de descompresión de los archivos empaquetados para extraer estas características de recursos relevantes en una extensión como manifest.json, carpetas de localización o archivos fuente de Javascript y HTML.

Referencias

• Gracias a @naivenom por la ayuda con esta metodología

• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing

• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/

• https://palant.info/2022/08/24/attack-surface-of-extension-pages/

• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/

• https://help.passbolt.com/assets/files/PBL-02-report.pdf

• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts

• https://developer.chrome.com/docs/extensions/mv2/background-pages

• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/

• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0