MET:MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析

背景概述

2022年6月3日,MetaMask公开了白帽子发现的一个严重的Clickjacking漏洞,这个漏洞可以造成的影响是:在用户的MM插件钱包处于解锁状态,用户访问恶意的站点时,站点可以利用iframe标签将解锁的MM插件钱包页面嵌入到网页中并进行隐藏,然后引导用户在网站上进行点击操作,实际上是在MM解锁的页面中进行操作,从而盗取用户的数字货币或藏品等相关资产。鉴于MM的用户体量较大,且ForkMetaMask插件钱包的项目也比较多,因此在MM公开这个漏洞后,我们立即开始对这个漏洞进行复现,然后开始搜寻这个漏洞对于其他ForkMetaMask项目的影响。

随后,慢雾安全团队尽可能地通知受到影响的项目方,并引导项目方进行修复。现在将这个Clickjacking漏洞的分析公开出来避免后续的项目踩坑。

漏洞分析

由于MM在发布这个Clickjacking漏洞的时候并没有详细的说明,仅是解释了这个漏洞的利用场景以及能够产生的危害,所以我在进行复现的时候也遇到了挺多坑,所以为了让大家能够更好地顺畅地理解整个漏洞,我在进行漏洞分析之前先补充下一个知识点。

MetaLabz 的攻击者经由EOA地址将111.4枚BNB转入 Tornado Cash:金色财经消息,据CertiK官方推特发布消息称,MetaLabz 的攻击者经由EOA(0x1d9886)地址将111.4枚BNB,(约2.7万美金)转入 Tornado Cash。[2023/7/30 16:07:34]

我们来了解下Manifest-WebAccessibleResources。在浏览器扩展钱包中有这么一个配置:web_accessible_resources,其用来约束Web页面能够访问到浏览器扩展的哪些资源,并且在默认的情况下是Web页面访问不到浏览器扩展中的资源文件,仅浏览器扩展的本身才能访问到浏览器扩展的资源。简而言之就是http/https等协议下的页面默认是没法访问到chrome-extension,当然如果扩展钱包配置了web_accessible_resources将扩展钱包内部的资源暴露出来,那么就能被http/https等协议下的页面访问到了。

Meta:明年将把20%的支出用于元宇宙项目上:金色财经报道,尽管受到外界越来越多的质疑,Meta Platforms Inc.仍表示明年将继续把公司20%的支出用于“元宇宙”项目“Reality Labs”上。当地时间周一(12月19日),Meta首席技术官兼Reality Labs负责人Andrew Bosworth在公司官方博客上发文表示,未来Meta将延续今年三季度的支出方向——80%的投资将用于支持核心业务“应用程序家族”,而另外20%仍将用于Reality Labs。(财联社)[2022/12/20 21:55:29]

而MM扩展钱包在10.14.6之前的版本一直保留着"web_accessible_resources":的配置,而这个配置是漏洞得以被利用的一个关键点。

苹果聘用Meta前公关高管,明年或发布混合现实头显:12月27日,美国苹果公司已宣布聘用社交网络巨头 Meta 前任增强现实项目公关负责人 Andrea Schubert,预计将为明年对外正式发布混合现实(MR)或增强现实(AR)硬件产品做准备。

此外,报道中提到明年很可能会看到苹果七年来的第一个主要新产品类别:一款功能强大且价格昂贵的混合现实头显硬件,Meta 旗下的 Oculus 已经成为头显市场的领导者,所以苹果这一“挖角”意味着自家产品接近发布并且可能会和 Meta 在元宇宙市场中展开竞争。(彭博社)[2021/12/27 8:06:47]

然而在进行漏洞分析的时候,发现在app/scripts/phishing-detect.js(v10.14.5)中已经对钓鱼页面的跳转做了协议的限制。。

汽车保险公司Metromile购买了100万美元的比特币:8月11日消息,在8月10日提交给美国证券交易委员会的文件中,美国上市汽车保险公司Metromile表示:“在截至2021年6月30日的六个月内,公司购买了总计100万美元的数字资产,完全由比特币组成。公司目前根据ASC 350《无形资产-商誉和其他》将这些数字资产作为不确定的无形资产入账。公司对购买的比特币资产拥有所有权和控制权,并使用第三方托管服务来确保其安全。数字资产最初按成本记录,随后在合并资产负债表上按成本重新计量,并扣除收购后发生的任何减值损失。[2021/8/11 1:47:27]

我们继续跟进这个协议限制的改动时间点,发现是在如下这个commit中添加了这个限制,也就是说在v10.14.1之前由于没有对跳转的协议进行限制,导致Clickjacking漏洞可以轻易被利用。

相关的commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

SEC寻求对参与Meta 1 coin加密局的三家公司及四名者进行处罚:SEC寻求对参与Meta 1 coin加密货币局的三家公司及四名者进行处罚,三家公司为别是Meta 1 Coin Trust、Clear International Trust和Ironheart Trust。四名者分别为Robert P. Dunlap、Nicole Bowdler、Wanda Traversie-Warner和Alfred WarnerJr。他们被指控以换取价值10亿美元的艺术品或价值20亿美元的黄金支持的欺诈性Meta 1 Coin的名义,从全球至少500名投资者手中取900万美元。根据SEC在三月份提起的诉讼,所谓的艺术品或黄金根本不存在,而投资者的资金实际被用于个人支出。(Cointelegraph)[2020/11/20 21:27:56]

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

为了验证代码的分析过程,我们切换到protocol限制之前的版本v10.14.0进行测试,发现可以轻松复现整个攻击过程。

但是在MM公开的报告中也提到,Clickjacking漏洞是在v10.14.6进行了修复,所以v10.14.5是存在漏洞的,再继续回头看这里的猜想。。

经过反复翻阅代码,在v10.14.5以及之前版本的代码,会在钓鱼页面提示的时候,如果用户点击了continuingatyourownrisk.之后就会将这个hostname加入到本地的白名单列表中。从而在下一次访问到该网站的时候就不会再出现MetaMaskPhishingDetection的提醒。

比如这个钓鱼网站:ethstake.exchange,通过iframe标签将钓鱼网站嵌入到网页中,然后利用Clickjacking漏洞就能将恶意的钓鱼网站加入到白名单中,同时在用户下一次访问钓鱼网站的时候MM不会再继续弹出警告。

分析结论

如上述的分析过程,其实MM近期修复的是两个Clickjacking漏洞,在复现过程中发现最新的v10.14.6已经将web_accessible_resources的相关配置移除了,彻底修复了MetaMaskPhishingDetection页面的点击劫持的问题。

利用Clickjacking漏洞诱导用户进行转账的修复:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

利用Clickjacking漏洞将钓鱼网站加入到白名单的修复:

https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢雾安全团队对chrome扩展商店中的各个知名的扩展钱包进行了Clickjacking的漏洞检测,发现如下的钱包受到Clickjacking漏洞影响:

CoinbaseWallet(v2.17.2)

Coin98Wallet(v6.0.6)

MaiarDeFiWallet(v1.2.17)

慢雾安全团队第一时间联系项目方团队,但是到目前为止部分项目方还未反馈,并且MM公开这个漏洞至今已经过去了11天。为了避免用户因为该漏洞遭受损失,慢雾安全团队选择公开漏洞的分析。如果受影响的相关项目方看到这篇文章需要协助请联系慢雾安全团队。

慢雾安全团队再次提醒浏览器扩展钱包项目方如果有基于MetaMask

慢雾安全团队建议普通用户在项目方还未修复漏洞之前可以先暂时停止使用这些扩展钱包,等待钱包官方发布修复版本后,用户可以及时更新到已修复的版本进行使用。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:988ms