链资讯 链资讯
Ctrl+D收藏链资讯
首页 > FTT > 正文

Terra:MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析_PACK价格

作者:

时间:

背景概述

2022年6月3日,MetaMask公开了白帽子发现的一个严重的Clickjacking漏洞,这个漏洞可以造成的影响是:在用户的MM插件钱包处于解锁状态,用户访问恶意的站点时,站点可以利用iframe标签将解锁的MM插件钱包页面嵌入到网页中并进行隐藏,然后引导用户在网站上进行点击操作,实际上是在MM解锁的页面中进行操作,从而盗取用户的数字货币或藏品等相关资产。鉴于MM的用户体量较大,且ForkMetaMask插件钱包的项目也比较多,因此在MM公开这个漏洞后,我们立即开始对这个漏洞进行复现,然后开始搜寻这个漏洞对于其他ForkMetaMask项目的影响。

随后,慢雾安全团队尽可能地通知受到影响的项目方,并引导项目方进行修复。现在将这个Clickjacking漏洞的分析公开出来避免后续的项目踩坑。

Meten Holding Group宣布将ChatGPT引入其在建的Web 3教育平台:金色财经报道,区块链技术公司Meten Holding Group宣布将ChatGPT引入其在建的 Web 3 教育平台。依托并受益于ChatGPT,公司拟在建设中的Web3平台上推出模拟真实人机交互的互动教学课程。公司相信,通过使用ChatGPT,公司与运行该平台相关的运营成本将控制在合理水平,同时为客户提供智能定制和个性化的课程,从而满足客户需求并提高客户忠诚度。客户反馈也有助于生成高质量的教育内容。所有这些组成部分都有望为创新的教育模式做出贡献。[2023/2/9 11:55:47]

漏洞分析

由于MM在发布这个Clickjacking漏洞的时候并没有详细的说明,仅是解释了这个漏洞的利用场景以及能够产生的危害,所以我在进行复现的时候也遇到了挺多坑,所以为了让大家能够更好地顺畅地理解整个漏洞,我在进行漏洞分析之前先补充下一个知识点。

扎克伯格称Meta今年工程师缩招超3000人:7月1日消息,Meta首席执行官马克·扎克伯格表示,Meta已经下调2022年工程师招聘目标,至6000-7000人。扎克伯格是在Meta每周例会上透露了这一点。此前,该公司计划招聘约1万名新工程师,该指标缩减幅度超30%,超3000人。(新浪科技)[2022/7/1 1:43:13]

我们来了解下Manifest-WebAccessibleResources。在浏览器扩展钱包中有这么一个配置:web_accessible_resources,其用来约束Web页面能够访问到浏览器扩展的哪些资源,并且在默认的情况下是Web页面访问不到浏览器扩展中的资源文件,仅浏览器扩展的本身才能访问到浏览器扩展的资源。简而言之就是http/https等协议下的页面默认是没法访问到chrome-extension,当然如果扩展钱包配置了web_accessible_resources将扩展钱包内部的资源暴露出来,那么就能被http/https等协议下的页面访问到了。

Meta计划研发AI超级计算机,未来或将服务于元宇宙:1月25日消息,据新浪科技消息,Facebook母公司Meta Platforms周一表示,公司研发团队打造一台AI超级计算机,预计2022年年中时完成。Meta认为完成时它极可能会成为世界上最快的AI超级计算机之一。

根据Meta的说法,AI Research SuperCluster(简称RSC)能帮助公司开发更好的AI模型。AI十分强大,可以跨越数百种语言,可以综合分析文本、图像和视频,从而判断内容是否有害。[2022/1/25 9:10:45]

而MM扩展钱包在10.14.6之前的版本一直保留着"web_accessible_resources":的配置,而这个配置是漏洞得以被利用的一个关键点。

Metapurse推出NFT节“Dreamverse”:9月12日,NFT投资基金Metapurse宣布将于11月4日在纽约市曼哈顿的5号航站楼举办Dreamverse,这是一个专门关注“以NFT为重点的音乐、艺术和技术”的活动,是Metapurse组织的第一个实体活动,白天,活动将举办“DreamverseGallery”,晚上由“晚间DreamverseParty”接管,参加派对的表演艺术家包括Alesso、RAC和PLS&TY。(Beincrypto)[2021/9/13 23:19:56]

然而在进行漏洞分析的时候,发现在app/scripts/phishing-detect.js(v10.14.5)中已经对钓鱼页面的跳转做了协议的限制。。

动态 | 矿业巨头Fortescue Metals创始人抨击Facebook纵容加密货币广告:金色财经报道,澳大利亚矿业巨头Fortescue Metals创始人Andrew Forrest抨击Facebook,称其为冒用其身份的加密货币局提供便利,并敦促全球政府协调针对Facebook的监管。Andrew Forrest在11月8日发给马克·扎克伯格的一封信中批评了Facebook。他在信中警告称,冒充他的网站上刊登的广告误导了无辜的人,导致他们失去了毕生积蓄。“我和我的家人一直是你们社交媒体网络上广告的对象。我们和其他人的图像正被用来鼓励您的用户投资欺诈性的加密货币方案。”他形容这种做法“令人厌恶”。(The Sydney Morning Herald)[2019/11/11]

我们继续跟进这个协议限制的改动时间点,发现是在如下这个commit中添加了这个限制,也就是说在v10.14.1之前由于没有对跳转的协议进行限制,导致Clickjacking漏洞可以轻易被利用。

相关的commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

为了验证代码的分析过程,我们切换到protocol限制之前的版本v10.14.0进行测试,发现可以轻松复现整个攻击过程。

但是在MM公开的报告中也提到,Clickjacking漏洞是在v10.14.6进行了修复,所以v10.14.5是存在漏洞的,再继续回头看这里的猜想。。

经过反复翻阅代码,在v10.14.5以及之前版本的代码,会在钓鱼页面提示的时候,如果用户点击了continuingatyourownrisk.之后就会将这个hostname加入到本地的白名单列表中。从而在下一次访问到该网站的时候就不会再出现MetaMaskPhishingDetection的提醒。

比如这个钓鱼网站:ethstake.exchange,通过iframe标签将钓鱼网站嵌入到网页中,然后利用Clickjacking漏洞就能将恶意的钓鱼网站加入到白名单中,同时在用户下一次访问钓鱼网站的时候MM不会再继续弹出警告。

分析结论

如上述的分析过程,其实MM近期修复的是两个Clickjacking漏洞,在复现过程中发现最新的v10.14.6已经将web_accessible_resources的相关配置移除了,彻底修复了MetaMaskPhishingDetection页面的点击劫持的问题。

利用Clickjacking漏洞诱导用户进行转账的修复:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

利用Clickjacking漏洞将钓鱼网站加入到白名单的修复:

https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢雾安全团队对chrome扩展商店中的各个知名的扩展钱包进行了Clickjacking的漏洞检测,发现如下的钱包受到Clickjacking漏洞影响:

CoinbaseWallet(v2.17.2)

Coin98Wallet(v6.0.6)

MaiarDeFiWallet(v1.2.17)

慢雾安全团队第一时间联系项目方团队,但是到目前为止部分项目方还未反馈,并且MM公开这个漏洞至今已经过去了11天。为了避免用户因为该漏洞遭受损失,慢雾安全团队选择公开漏洞的分析。如果受影响的相关项目方看到这篇文章需要协助请联系慢雾安全团队。

慢雾安全团队再次提醒浏览器扩展钱包项目方如果有基于MetaMask

慢雾安全团队建议普通用户在项目方还未修复漏洞之前可以先暂时停止使用这些扩展钱包,等待钱包官方发布修复版本后,用户可以及时更新到已修复的版本进行使用。

标签:TerrametamaskACKLICTerra Classicmetamask钱包app下载官方PACK价格LICK

FTT热门资讯
WEB3:Web3.0时代来临的号角 ADAM打响链上数据确权之战_web3.0币种

本文翻译自ADAM?Medium《TheClarionoftheWeb3.0EraisBlown.

Terra:外媒:造成UST崩盘的“攻击者”钱包实际为Terraform Labs管理的钱包_ustc币爆雷

据CoinDeskKorea报道,给算法稳定币TerraUSD造成致命打击的“攻击者”钱包是TerraformLabs管理的钱包.

Terra:金色Web3.0日报 | 央媒入局数藏领域:发行藏品超40万份_ecoterra币APp下载

1.DeFi代币总市值:494.09亿美元 DeFi总市值数据来源:coingecko2.过去24小时去中心化交易所的交易量:83.

ELS:三星推出三星钱包,用户可存储数字钥匙等_METAN

金色财经报道,三星今天宣布将推出“三星钱包”,用户可以在一个地方存储选定的数字钥匙、登机牌、身份证等.

MET:a16z:给 Web3 项目的智能合约安全指南_SAM

通常,黑客会发现并利用软件开发整个流程链条中的缺陷,从而打破区块链项目的安全屏障。如果能够提前了解到相关经验,我相信安全事故会少很多.

ELS:机构撤离Lido进行时 stETH风险究竟有多严重?_MetaGameSpace

stETH脱锚,价值跌至0.95ETH。 流动性正在枯竭,Smart?Money正在撤出资金,再加上借贷平台Celsius濒临破产的传闻,这一切可能会引发stETH的大量抛售,我和Messari.