BrowExt - ClickJacking
Informazioni di Base
Questa pagina sfrutterà una vulnerabilità di ClickJacking in un'estensione del Browser. Se non sai cos'è il ClickJacking, controlla:
pageClickjackingLe estensioni contengono il file manifest.json
e quel file JSON ha un campo web_accessible_resources
. Ecco cosa dicono i documenti di Chrome a riguardo:
Queste risorse sarebbero quindi disponibili in una pagina web tramite l'URL
chrome-extension://[PACKAGE ID]/[PATH]
, che può essere generato con il metodoextension.getURL
. Le risorse autorizzate sono servite con gli opportuni header CORS, quindi sono disponibili tramite meccanismi come XHR.1
Le web_accessible_resources
in un'estensione del browser non sono solo accessibili tramite il web; operano anche con i privilegi intrinseci dell'estensione. Ciò significa che hanno la capacità di:
Cambiare lo stato dell'estensione
Caricare risorse aggiuntive
Interagire con il browser fino a un certo punto
Tuttavia, questa funzionalità presenta un rischio per la sicurezza. Se una risorsa all'interno di web_accessible_resources
ha una qualsiasi funzionalità significativa, un attaccante potrebbe potenzialmente incorporare questa risorsa in una pagina web esterna. Gli utenti inconsapevoli che visitano questa pagina potrebbero attivare involontariamente questa risorsa incorporata. Tale attivazione potrebbe portare a conseguenze indesiderate, a seconda delle autorizzazioni e delle capacità delle risorse dell'estensione.
Esempio di PrivacyBadger
Nell'estensione PrivacyBadger, è stata identificata una vulnerabilità relativa alla directory skin/
dichiarata come web_accessible_resources
nel seguente modo (Controlla il post originale):
Questa configurazione ha portato a un potenziale problema di sicurezza. In particolare, il file skin/popup.html
, che viene visualizzato al momento dell'interazione con l'icona di PrivacyBadger nel browser, potrebbe essere incorporato all'interno di un iframe
. Questo embedding potrebbe essere sfruttato per ingannare gli utenti facendoli cliccare involontariamente su "Disabilita PrivacyBadger per questo Sito Web". Tale azione comprometterebbe la privacy dell'utente disabilitando la protezione di PrivacyBadger e potenzialmente esponendo l'utente a un aumento del tracciamento. Una dimostrazione visuale di questo exploit può essere visualizzata in un esempio video di ClickJacking fornito all'indirizzo https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm.
Per affrontare questa vulnerabilità, è stata implementata una soluzione diretta: la rimozione di /skin/*
dall'elenco delle web_accessible_resources
. Questo cambiamento ha efficacemente attenuato il rischio garantendo che il contenuto della directory skin/
non potesse essere accessibile o manipolato tramite risorse accessibili via web.
La correzione è stata semplice: rimuovere /skin/*
dalle web_accessible_resources
.
PoC
Esempio di Metamask
Un post sul blog su un ClickJacking in metamask può essere trovato qui. In questo caso, Metamask ha risolto la vulnerabilità controllando che il protocollo utilizzato per accedervi fosse https:
o http:
(non chrome:
per esempio):
Un altro ClickJacking risolto nell'estensione di Metamask era che gli utenti potevano fare clic per aggiungere alla whitelist quando una pagina risultava sospetta di phishing a causa di “web_accessible_resources”: [“inpage.js”, “phishing.html”]
. Poiché quella pagina era vulnerabile al Clickjacking, un attaccante poteva abusarne mostrando qualcosa di normale per far clic alla vittima per aggiungerla alla whitelist senza accorgersene, per poi tornare alla pagina di phishing che sarebbe stata aggiunta alla whitelist.
Esempio di Steam Inventory Helper
Controlla la seguente pagina per vedere come un XSS in un'estensione del browser è stato concatenato con una vulnerabilità di ClickJacking:
pageBrowExt - XSS ExampleRiferimenti
Last updated