BrowExt - ClickJacking
Last updated
Last updated
Cette page va exploiter une vulnérabilité de ClickJacking dans une extension de navigateur. Si vous ne savez pas ce qu'est le ClickJacking, consultez :
Les extensions contiennent le fichier manifest.json
et ce fichier JSON a un champ web_accessible_resources
. Voici ce que les documents Chrome en disent :
Ces ressources seraient alors disponibles dans une page web via l'URL
chrome-extension://[ID DU PACKAGE]/[CHEMIN]
, qui peut être générée avec la méthodeextension.getURL
. Les ressources autorisées sont servies avec des en-têtes CORS appropriés, elles sont donc disponibles via des mécanismes tels que XHR.1
Les web_accessible_resources
dans une extension de navigateur ne sont pas seulement accessibles via le web ; ils fonctionnent également avec les privilèges inhérents de l'extension. Cela signifie qu'ils ont la capacité de :
Changer l'état de l'extension
Charger des ressources supplémentaires
Interagir avec le navigateur dans une certaine mesure
Cependant, cette fonctionnalité présente un risque de sécurité. Si une ressource dans web_accessible_resources
a une fonctionnalité significative, un attaquant pourrait potentiellement intégrer cette ressource dans une page web externe. Les utilisateurs non méfiants visitant cette page pourraient activer involontairement cette ressource intégrée. Une telle activation pourrait entraîner des conséquences non intentionnelles, en fonction des autorisations et des capacités des ressources de l'extension.
Dans l'extension PrivacyBadger, une vulnérabilité a été identifiée concernant le répertoire skin/
déclaré comme web_accessible_resources
de la manière suivante (Consultez le billet de blog original) :
Cette configuration a conduit à un problème de sécurité potentiel. Plus précisément, le fichier skin/popup.html
, qui est affiché lors de l'interaction avec l'icône PrivacyBadger dans le navigateur, pourrait être intégré dans un iframe
. Cette intégration pourrait être exploitée pour tromper les utilisateurs en les incitant à cliquer involontairement sur "Désactiver PrivacyBadger pour ce site Web". Une telle action compromettrait la vie privée de l'utilisateur en désactivant la protection de PrivacyBadger et en exposant potentiellement l'utilisateur à un suivi accru. Une démonstration visuelle de cette exploitation peut être visionnée dans un exemple vidéo de ClickJacking fourni à l'adresse https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm.
Pour remédier à cette vulnérabilité, une solution simple a été mise en œuvre : la suppression de /skin/*
de la liste des web_accessible_resources
. Ce changement a efficacement atténué le risque en veillant à ce que le contenu du répertoire skin/
ne puisse pas être accédé ou manipulé via des ressources accessibles sur le Web.
La correction était simple : supprimer /skin/*
des `web_accessible_resources.
Un article de blog sur une attaque par ClickJacking dans Metamask peut être trouvé ici. Dans ce cas, Metamask a corrigé la vulnérabilité en vérifiant que le protocole utilisé pour y accéder était https:
ou http:
(et non chrome:
par exemple) :
Un autre ClickJacking corrigé dans l'extension Metamask était que les utilisateurs pouvaient Cliquer pour autoriser lorsqu'une page était suspectée d'être un site de phishing en raison de “web_accessible_resources”: [“inpage.js”, “phishing.html”]
. Comme cette page était vulnérable au Clickjacking, un attaquant pouvait l'exploiter en montrant quelque chose de normal pour inciter la victime à cliquer pour l'autoriser sans s'en rendre compte, puis revenir à la page de phishing qui serait autorisée.
Consultez la page suivante pour voir comment une XSS dans une extension de navigateur a été associée à une vulnérabilité de ClickJacking :