安全公司Island的研究員在例行的瀏覽器擴展安全審計中,打開了一份令其警覺的攻擊模擬報告。這份報告指向Chrome應(yīng)用商店里一個多年維持高安裝量的廣告攔截插件——Adblock for YouTube。它的累計安裝次數(shù)已經(jīng)超過1100萬次,但研究員發(fā)現(xiàn),該插件的域名驗證環(huán)節(jié)存在一個根本性缺陷:它并不會嚴格檢查當前頁面究竟是不是屬于youtube.com。
這個機制漏洞的門檻極低。攻擊者只需要在任意一個完全受自己控制的網(wǎng)址中,故意添加“youtube.com”這一字符串。比如,可以構(gòu)建“notyoutube.example.com/search?q=youtube.com”這樣的鏈接。這個頁面本身和YouTube平臺毫無關(guān)系,但插件仍然會將其誤認為真實的YouTube站點,并執(zhí)行特定的內(nèi)容屏蔽邏輯。Island公司在技術(shù)分析中指出,正是這種粗粒度的匹配方式,為后續(xù)更嚴重的注入攻擊提供了入口。
![]()
更大的隱患藏在插件的配置下發(fā)機制里。Adblock for YouTube在內(nèi)部集成了一套能夠從服務(wù)器端遠程加載JavaScript代碼的模塊,以便廠商動態(tài)調(diào)整屏蔽策略。Island的安全研究人員判斷,如果攻擊者能夠入侵廣告攔截服務(wù)的后臺服務(wù)器,或者直接取得對服務(wù)器配置的控制權(quán),就可以利用這套遠程下發(fā)通道,向所有已安裝該插件的用戶瀏覽器中注入一段精心構(gòu)造的代碼。這段代碼理論上可以是任意JavaScript指令,足以實現(xiàn)竊取Cookies、改寫頁面內(nèi)容、冒用賬戶身份等一系列高危操作。
關(guān)于這一風(fēng)險的分歧,本周迅速在安全社區(qū)中浮現(xiàn)。正方論者,特別是部分隱私工具的開發(fā)者認為,此事再次暴露了廣告攔截類擴展的普遍軟肋:它們?yōu)榱藢崟r干預(yù)網(wǎng)頁內(nèi)容,往往被授予了讀取和修改所有瀏覽數(shù)據(jù)的極高權(quán)限。在這種權(quán)限等級下,任何代碼注入都幾乎等同于直接獲得瀏覽器會話的控制權(quán)。一位長期研究瀏覽器安全的研究員反復(fù)強調(diào)一個概念:“攔截器本身就是一個超級代理。”一旦它自身的供應(yīng)鏈被污染,威脅面會瞬間從單一站點擴展至用戶訪問的所有網(wǎng)站,造成的損害不能被近期任何一起普通的網(wǎng)絡(luò)攻擊所類比。
反方觀點則傾向于關(guān)注廠商的響應(yīng)速度與實際操控條件。Adblock for YouTube的開發(fā)商AdBlock的創(chuàng)始人,在接受外媒《The Hacker News》采訪時證實,團隊已經(jīng)開始著手修復(fù)各項相關(guān)問題。具體措施包括為插件增加對YouTube官方域名的嚴格校驗,并重新設(shè)計服務(wù)器端的配置下發(fā)規(guī)則,以杜絕未來再通過遠程途徑向客戶端頁面注入可執(zhí)行代碼的可能性。支持該立場的人士提醒,攻擊者要完成整個利用鏈,必須先攻破AdBlock的服務(wù)器端防線,這并非一個容易達成的先決條件。而且插件在發(fā)現(xiàn)此類問題后立即啟動了修補流程,與此前某些長期無人維護卻仍擁有大量用戶群的僵尸擴展有本質(zhì)區(qū)別。
我的總體判斷是,風(fēng)險的關(guān)鍵刻度不在于攻擊難度,而在于集中化的分發(fā)命脈。一個安裝在1100多萬個瀏覽器上的擴展,通過一條遠程配置規(guī)則就可以同時向所有端點推送代碼,這種架構(gòu)本身就是一種高價值目標。即使服務(wù)器端暫時未被侵入,脆弱的域名匹配也已經(jīng)為釣魚攻擊和局部滲漏打開了缺口。如果未來有一批類似架構(gòu)的廣告攔截工具被歸入同一個漏洞利用模式,那么整個基于瀏覽器攔截的信任模型都需要重新評估。普通用戶在現(xiàn)階段應(yīng)當優(yōu)先執(zhí)行的,是安全研究人員反復(fù)提及的一類實用操作:在安裝攔截類插件時,盡量只選擇信譽清晰、更新頻繁且已經(jīng)經(jīng)歷過長期審查的產(chǎn)品,同時定期進入瀏覽器擴展管理頁,審視每一個插件當前被授權(quán)的權(quán)限范圍。避免任何功能描述異常復(fù)雜卻來源不明的擴展進入自己的瀏覽器環(huán)境,是當下成本最低卻最有效的止損方式。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.