VietNetwork.Vn

Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc hại có được quyền truy cập trái phép và toàn quyền vào các API riêng tư.

Guardio Labs cho biết cuộc tấn công có tên mã là CrossBarking có thể thực hiện các hành động như chụp ảnh màn hình, sửa đổi cài đặt trình duyệt và chiếm đoạt tài khoản.


Để chứng minh vấn đề này, công ty cho biết họ đã phát hành một tiện ích mở rộng trình duyệt có vẻ vô hại lên Chrome Web Store, sau đó có thể khai thác lỗ hổng khi cài đặt trên Opera, biến nó thành một trường hợp tấn công xuyên cửa hàng trình duyệt.

Nati Tal, giám đốc Guardio Labs, cho biết trong báo cáo chia sẻ với The Hacker News: "Nghiên cứu điển hình này không chỉ làm nổi bật cuộc xung đột lâu đời giữa năng suất và bảo mật mà còn cung cấp cái nhìn sâu sắc thú vị về các chiến thuật được các tác nhân đe dọa hiện đại sử dụng, hoạt động ngay dưới radar".

Vấn đề đã được Opera giải quyết vào ngày 24 tháng 9 năm 2024, sau khi tiết lộ một cách có trách nhiệm. Tuy nhiên, đây không phải là lần đầu tiên các lỗ hổng bảo mật được phát hiện trong trình duyệt.

Vào đầu tháng 1, thông tin chi tiết về một lỗ hổng được gọi là MyFlaw đã xuất hiện, lỗ hổng này lợi dụng một tính năng hợp pháp có tên là My Flow để thực thi bất kỳ tệp nào trên hệ điều hành cơ bản.

Kỹ thuật tấn công mới nhất dựa trên thực tế là một số tên miền phụ có thể truy cập công khai thuộc sở hữu của Opera có quyền truy cập đặc quyền vào các API riêng được nhúng trong trình duyệt. Các tên miền này được sử dụng để hỗ trợ các tính năng dành riêng cho Opera như Opera Wallet, Pinboard và các tính năng khác, cũng như các tính năng được sử dụng trong quá trình phát triển nội bộ.


Tên của một số miền, bao gồm cả một số miền của bên thứ ba, được liệt kê bên dưới -

•   Đăng nhập để xem liên kết
•   Đăng nhập để xem liên kết
•   Đăng nhập để xem liên kết
•   Đăng nhập để xem liên kết
•   Đăng nhập để xem liên kết
•   Đăng nhập để xem liên kết
•   Đăng nhập để xem liên kết

Trong khi hộp cát đảm bảo rằng ngữ cảnh của trình duyệt vẫn tách biệt với phần còn lại của hệ điều hành, nghiên cứu của Guardio phát hiện ra rằng các tập lệnh nội dung có trong tiện ích mở rộng của trình duyệt có thể được sử dụng để đưa JavaScript độc hại vào các miền quá dễ dãi và truy cập vào các API riêng tư.

"Script nội dung có quyền truy cập vào DOM (Mô hình đối tượng tài liệu)", Tal giải thích. "Điều này bao gồm khả năng thay đổi nội dung một cách động, cụ thể là bằng cách thêm các phần tử mới".

Với quyền truy cập này, kẻ tấn công có thể chụp ảnh màn hình tất cả các tab đang mở, trích xuất cookie phiên để chiếm đoạt tài khoản và thậm chí sửa đổi cài đặt DNS-over-HTTPS (DoH) của trình duyệt để phân giải tên miền thông qua máy chủ DNS do kẻ tấn công kiểm soát.

Điều này có thể tạo tiền đề cho các cuộc tấn công kẻ thù ở giữa (AitM) mạnh mẽ khi nạn nhân cố gắng truy cập vào ngân hàng hoặc trang mạng xã hội bằng cách chuyển hướng họ đến các trang web độc hại.

Phần mở rộng độc hại, về phần mình, có thể được xuất bản như một thứ vô hại đối với bất kỳ danh mục tiện ích bổ sung nào, bao gồm cả Google Chrome Web Store, nơi người dùng có thể tải xuống và thêm nó vào trình duyệt của họ, kích hoạt hiệu quả cuộc tấn công. Tuy nhiên, nó yêu cầu quyền chạy JavaScript trên bất kỳ trang web nào, đặc biệt là các tên miền có quyền truy cập vào API riêng tư.

Với các tiện ích mở rộng trình duyệt lừa đảo liên tục xâm nhập vào các cửa hàng chính thức, chưa kể đến một số tiện ích mở rộng hợp pháp không minh bạch trong hoạt động thu thập dữ liệu, những phát hiện này nhấn mạnh sự cần thiết phải thận trọng trước khi cài đặt chúng.

"Các tiện ích mở rộng của trình duyệt có sức mạnh đáng kể — dù tốt hay xấu", Tal nói. "Vì vậy, những người thực thi chính sách phải giám sát chặt chẽ chúng".

"Mô hình đánh giá hiện tại còn nhiều thiếu sót; chúng tôi khuyến nghị nên tăng cường mô hình này bằng nguồn nhân lực bổ sung và các phương pháp phân tích liên tục để theo dõi hoạt động của tiện ích mở rộng ngay cả sau khi phê duyệt. Ngoài ra, việc thực thi xác minh danh tính thực đối với tài khoản nhà phát triển là rất quan trọng, do đó, chỉ sử dụng email miễn phí và thẻ tín dụng trả trước là không đủ để đăng ký."