Browser Extension Pentesting Methodology

```javascript var port = chrome.runtime.connect();

// Listen for messages from the web page window.addEventListener("message", (event) => { // Only accept messages from the same window if (event.source !== window) { return; }

// Check if the message type is "FROM_PAGE" if (event.data.type && (event.data.type === "FROM_PAGE")) { console.log("Content script received: " + event.data.text); // Forward the message to the background script port.postMessage({ type: 'FROM_PAGE', text: event.data.text }); } }, false);

// Listen for messages from the background script port.onMessage.addListener(function(msg) { console.log("Content script received message from background script:", msg); // Handle the response message from the background script });

</details>

バックグラウンドスクリプトから特定のタブにあるコンテンツスクリプトにメッセージを送信することも可能で、**`chrome.tabs.sendMessage`**を呼び出す必要があります。この際、メッセージを送信する**タブのID**を指定する必要があります。

### 許可された`externally_connectable`から拡張機能へ

`externally_connectable`設定で許可された**Webアプリと外部ブラウザ拡張機能**は、次のようにリクエストを送信できます：
```javascript
chrome.runtime.sendMessage(extensionId, ...

必要な場合は拡張IDを言及する必要があります。

ネイティブメッセージング

バックグラウンドスクリプトがシステム内のバイナリと通信することが可能であり、この通信が適切に保護されていない場合、RCEなどの重大な脆弱性にさらされる可能性があります。この後で詳しく説明します。

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

Web ↔︎ コンテンツスクリプト通信

コンテンツスクリプトが動作する環境とホストページが存在する環境は分離されており、隔離が確保されています。この隔離にもかかわらず、両者はページのドキュメントオブジェクトモデル (DOM)、つまり共有リソースと相互作用する能力を持っています。ホストページがコンテンツスクリプトと通信するため、またはコンテンツスクリプトを介して拡張機能と間接的に通信するためには、両者がアクセス可能なDOMを通信チャネルとして利用する必要があります。

ポストメッセージ

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect();

window.addEventListener("message", (event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return;
}

if (event.data.type && (event.data.type === "FROM_PAGE")) {
console.log("Content script received: " + event.data.text);
// Forward the message to the background script
port.postMessage(event.data.text);
}
}, false);

document.getElementById("theButton").addEventListener("click", () => {
window.postMessage(
{type : "FROM_PAGE", text : "Hello from the webpage!"}, "*");
}, false);

安全なPost Message通信は、受信したメッセージの信頼性を確認する必要があります。これは以下を確認することで行えます：

• event.isTrusted: これは、イベントがユーザーのアクションによってトリガーされた場合のみTrueになります。

• コンテンツスクリプトは、ユーザーが何らかのアクションを実行した場合にのみメッセージを期待しているかもしれません。

• origin domain: メッセージを期待するのは、許可リストにあるドメインのみです。

• 正規表現が使用される場合は、非常に注意が必要です。

• Source: received_message.source !== windowを使用して、メッセージがコンテンツスクリプトがリスニングしている同じウィンドウからのものであるかを確認できます。

前述のチェックは、実施されていても脆弱である可能性があるため、次のページで潜在的なPost Messageバイパスを確認してください：

Iframe

別の通信方法としてIframe URLsを通じて行うことが考えられます。例は以下にあります：

DOM

これは「正確には」通信方法ではありませんが、ウェブとコンテンツスクリプトはウェブDOMにアクセスできます。したがって、コンテンツスクリプトがそこから情報を読み取っている場合、ウェブDOMを信頼していると、ウェブはこのデータを変更する可能性があります（ウェブは信頼されるべきではないため、またはウェブがXSSに対して脆弱であるため）し、コンテンツスクリプトを危険にさらす可能性があります。

DOMベースのXSSを使用してブラウザ拡張を危険にさらす例も以下にあります：

コンテンツスクリプト ↔︎ バックグラウンドスクリプト通信

コンテンツスクリプトは、runtime.sendMessage() または tabs.sendMessage()を使用して、一度きりのJSONシリアライズ可能なメッセージを送信できます。

レスポンスを処理するには、返されたPromiseを使用します。ただし、後方互換性のために、最後の引数としてコールバックを渡すこともできます。

コンテンツスクリプトからリクエストを送信するのは次のようになります：

(async () => {
const response = await chrome.runtime.sendMessage({greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

拡張機能からリクエストを送信する（通常はバックグラウンドスクリプト）。選択したタブのコンテンツスクリプトにメッセージを送信する方法の例：

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
(async () => {
const [tab] = await chrome.tabs.query({active: true, lastFocusedWindow: true});
const response = await chrome.tabs.sendMessage(tab.id, {greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

受信側では、メッセージを処理するためにruntime.onMessage イベントリスナーを設定する必要があります。これは、コンテンツスクリプトまたは拡張ページから見ると同じように見えます。

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(
function(request, sender, sendResponse) {
console.log(sender.tab ?
"from a content script:" + sender.tab.url :
"from the extension");
if (request.greeting === "hello")
sendResponse({farewell: "goodbye"});
}
);

例で強調されたように、sendResponse() は同期的に実行されました。sendResponse() の非同期実行のために onMessage イベントハンドラーを修正するには、return true; を組み込むことが不可欠です。

重要な考慮事項は、複数のページが onMessage イベントを受信するように設定されているシナリオでは、特定のイベントに対して sendResponse() を最初に実行したページ だけが、効果的に応答を提供できるということです。同じイベントに対するその後の応答は考慮されません。

新しい拡張機能を作成する際は、コールバックよりもプロミスを優先すべきです。コールバックの使用に関しては、sendResponse() 関数は、同期コンテキスト内で直接実行される場合、またはイベントハンドラーが true を返すことによって非同期操作を示す場合にのみ有効と見なされます。どのハンドラーも true を返さない場合や、sendResponse() 関数がメモリから削除された場合（ガーベジコレクションされた場合）、sendMessage() 関数に関連付けられたコールバックがデフォルトでトリガーされます。

ネイティブメッセージング

ブラウザ拡張機能は、システム内のバイナリと stdin 経由で通信することも可能です。アプリケーションは、次のような json でそれを示す json をインストールする必要があります:

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

name は runtime.connectNative() または runtime.sendNativeMessage() に渡される文字列で、ブラウザ拡張のバックグラウンドスクリプトからアプリケーションと通信します。 path はバイナリへのパスで、1つの有効な type は stdio（stdin と stdout を使用）であり、 allowed_origins はアクセスできる拡張機能を示します（ワイルドカードは使用できません）。

Chrome/Chromium は、この JSON をいくつかの Windows レジストリや macOS および Linux のいくつかのパスで検索します（詳細は docs を参照）。

ブラウザ拡張は、この通信を使用するために nativeMessaing 権限を宣言する必要があります。

これは、ネイティブアプリケーションにメッセージを送信するバックグラウンドスクリプトコードの例です：

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

In このブログ投稿では、ネイティブメッセージを悪用する脆弱なパターンが提案されています：

1. ブラウザ拡張機能はコンテンツスクリプトのためのワイルドカードパターンを持っています。

2. コンテンツスクリプトはsendMessageを使用してバックグラウンドスクリプトにpostMessageメッセージを渡します。

3. バックグラウンドスクリプトはsendNativeMessageを使用してネイティブアプリケーションにメッセージを渡します。

4. ネイティブアプリケーションはメッセージを危険に扱い、コード実行につながります。

そして、その中でブラウザ拡張機能を悪用して任意のページからRCEに移行する例が説明されています。

メモリ/コード/クリップボード内の機密情報

ブラウザ拡張機能がメモリ内に機密情報を保存している場合、これはダンプされる可能性があり（特にWindowsマシンで）、この情報が検索される可能性があります。

したがって、ブラウザ拡張機能のメモリは安全とは見なされるべきではなく、資格情報やニーモニックフレーズなどの機密情報は保存されるべきではありません。

もちろん、コード内に機密情報を置かないでください、それは公開されることになります。

ブラウザからメモリをダンプするには、プロセスメモリをダンプするか、ブラウザ拡張機能の設定に行き、**Inspect pop-up**をクリック -> **Memory**セクション -> **Take a snapshotを選択し、CTRL+F**でスナップショット内の機密情報を検索します。

さらに、ニーモニックキーやパスワードのような非常に機密性の高い情報は、クリップボードにコピーされることを許可すべきではありません（または少なくとも数秒以内にクリップボードから削除するべきです）なぜなら、その後クリップボードを監視しているプロセスがそれらを取得できるからです。

ブラウザに拡張機能を読み込む

1. ブラウザ拡張機能をダウンロードし、解凍します。

2. chrome://extensions/に移動し、Developer Modeを有効にします。

3. **Load unpacked**ボタンをクリックします。

Firefoxでは、**about:debugging#/runtime/this-firefoxに移動し、Load Temporary Add-on**ボタンをクリックします。

ストアからソースコードを取得する

Chrome拡張機能のソースコードは、さまざまな方法で取得できます。以下に各オプションの詳細な説明と手順を示します。

コマンドラインを介してZIPとして拡張機能をダウンロード

Chrome拡張機能のソースコードは、コマンドラインを使用してZIPファイルとしてダウンロードできます。これは、特定のURLからZIPファイルを取得するためにcurlを使用し、その後ZIPファイルの内容をディレクトリに抽出することを含みます。手順は以下の通りです：

1. "extension_id"を拡張機能の実際のIDに置き換えます。

2. 次のコマンドを実行します：

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

CRX Viewerウェブサイトを使用する

https://robwu.nl/crxviewer/

CRX Viewer拡張機能を使用する

もう一つの便利な方法は、オープンソースプロジェクトであるChrome Extension Source Viewerを使用することです。これはChrome Web Storeからインストールできます。ビューワーのソースコードはそのGitHubリポジトリで入手可能です。

ローカルにインストールされた拡張機能のソースを表示する

ローカルにインストールされたChrome拡張機能も検査できます。方法は以下の通りです：

1. chrome://version/にアクセスし、「Profile Path」フィールドを見つけて、Chromeのローカルプロファイルディレクトリにアクセスします。

2. プロファイルディレクトリ内のExtensions/サブフォルダに移動します。

3. このフォルダには、通常は読みやすい形式のソースコードを持つすべてのインストールされた拡張機能が含まれています。

拡張機能を特定するには、IDを名前にマッピングできます：

• about:extensionsページで開発者モードを有効にして、各拡張機能のIDを表示します。

• 各拡張機能のフォルダ内のmanifest.jsonファイルには、拡張機能を特定するのに役立つ読みやすいnameフィールドが含まれています。

ファイルアーカイバまたはアンパッカーを使用する

Chrome Web Storeにアクセスして拡張機能をダウンロードします。ファイルは.crx拡張子を持っています。ファイルの拡張子を.crxから.zipに変更します。任意のファイルアーカイバ（WinRAR、7-Zipなど）を使用してZIPファイルの内容を抽出します。

Chromeで開発者モードを使用する

Chromeを開き、chrome://extensions/に移動します。右上で「開発者モード」を有効にします。「未パッケージの拡張機能を読み込む...」をクリックします。拡張機能のディレクトリに移動します。これはソースコードをダウンロードするものではありませんが、すでにダウンロードまたは開発された拡張機能のコードを表示および変更するのに便利です。

Chrome拡張機能マニフェストデータセット

脆弱なブラウザ拡張機能を見つけるために、https://github.com/palant/chrome-extension-manifests-datasetを使用して、マニフェストファイルに潜在的な脆弱性の兆候がないか確認できます。たとえば、25000人以上のユーザーを持つ拡張機能、content_scripts、および権限nativeMessaingを確認するには：

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

セキュリティ監査チェックリスト

ブラウザ拡張機能は限られた攻撃面を持っていますが、その中には脆弱性や強化の可能性が含まれている場合があります。以下は最も一般的なものです：

• 要求される permissions をできるだけ制限する

• host_permissions をできるだけ制限する

• 強力な content_security_policy を使用する

• externally_connectable をできるだけ制限する。必要がない場合はデフォルトで残さず、{} を指定する

• XSSまたは乗っ取りに脆弱なURLがここに記載されている場合、攻撃者はバックグラウンドスクリプトに直接メッセージを送信できる。非常に強力なバイパス。

• web_accessible_resources をできるだけ制限する。可能であれば空にする。

• web_accessible_resources がない場合、ClickJackingを確認する

• 拡張機能からウェブページへの通信が発生する場合、XSS 脆弱性が通信によって引き起こされていないか確認する。

• Post Messagesが使用されている場合、Post Messageの脆弱性を確認する。

• Content ScriptがDOMの詳細にアクセスする場合、ウェブによって変更されるとXSSを導入していないか確認する

• この通信がContent Script -> バックグラウンドスクリプト通信にも関与している場合は特に強調する

• バックグラウンドスクリプトがネイティブメッセージングを介して通信している場合、通信が安全でサニタイズされているか確認する

• 機密情報はブラウザ拡張機能のコード内に保存すべきではない

• 機密情報はブラウザ拡張機能のメモリ内に保存すべきではない

• 機密情報は****ファイルシステムに無防備に保存すべきではない

ツール

Tarnish

• 提供されたChromeウェブストアリンクから任意のChrome拡張機能を取得します。

• manifest.json ビューワー：拡張機能のマニフェストのJSON整形バージョンを表示します。

• フィンガープリンター分析： web_accessible_resources の検出とChrome拡張機能フィンガープリンティングJavaScriptの自動生成。

• 潜在的なClickjacking分析： web_accessible_resources ディレクティブが設定された拡張機能のHTMLページの検出。これらはページの目的に応じてClickjackingに脆弱である可能性があります。

• 権限警告ビューワー：ユーザーが拡張機能をインストールしようとしたときに表示されるすべてのChrome権限プロンプト警告のリストを表示します。

• 危険な関数：攻撃者によって悪用される可能性のある危険な関数の場所を示します（例：innerHTML、chrome.tabs.executeScriptなどの関数）。

• エントリポイント：拡張機能がユーザー/外部入力を受け取る場所を示します。これは拡張機能の表面積を理解し、悪意のあるデータを拡張機能に送信する潜在的なポイントを探すのに役立ちます。

• 危険な関数とエントリポイントスキャナーは、生成されたアラートに対して以下を持っています：

• アラートを引き起こした関連コードスニペットと行。

• 問題の説明。

• コードを含む完全なソースファイルを表示するための「ファイルを表示」ボタン。

• アラートが発生したファイルのパス。

• アラートが発生したファイルの完全なChrome拡張機能URI。

• バックグラウンドページスクリプト、コンテンツスクリプト、ブラウザアクションなど、ファイルの種類。

• 脆弱な行がJavaScriptファイルにある場合、それが含まれているすべてのページのパスとこれらのページの種類、web_accessible_resource ステータス。

• コンテンツセキュリティポリシー（CSP）アナライザーおよびバイパスチェッカー：これにより、拡張機能のCSPの弱点が指摘され、ホワイトリストに登録されたCDNなどによるCSPのバイパスの潜在的な方法が明らかになります。

• 既知の脆弱なライブラリ：これはRetire.jsを使用して、既知の脆弱なJavaScriptライブラリの使用をチェックします。

• 拡張機能とフォーマットされたバージョンをダウンロード。

• 元の拡張機能をダウンロード。

• 拡張機能の美化されたバージョンをダウンロード（自動整形されたHTMLとJavaScript）。

• スキャン結果の自動キャッシュ。拡張機能のスキャンを初めて実行する際にはかなりの時間がかかります。しかし、拡張機能が更新されていない限り、2回目は結果がキャッシュされているため、ほぼ瞬時に完了します。

• リンク可能なレポートURL。誰かにTarnishによって生成された拡張機能レポートへのリンクを簡単に提供できます。

Neto

プロジェクトNetoは、FirefoxやChromeなどの有名なブラウザのブラウザプラグインや拡張機能の隠れた機能を分析し解明するために考案されたPython 3パッケージです。これは、manifest.json、ローカリゼーションフォルダー、またはJavaScriptおよびHTMLソースファイルなどの関連リソースからこれらの機能を抽出するために、パッケージ化されたファイルを解凍するプロセスを自動化します。

参考文献

• この方法論に関する助けを @naivenom に感謝します

• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing

• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/

• https://palant.info/2022/08/24/attack-surface-of-extension-pages/

• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/

• https://help.passbolt.com/assets/files/PBL-02-report.pdf

• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts

• https://developer.chrome.com/docs/extensions/mv2/background-pages

• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/

• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0