火星链 火星链
Ctrl+D收藏火星链
首页 > 莱特币 > 正文

ING:MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析

作者:

时间:1900/1/1 0:00:00

背景概述

2022年6月3日,MetaMask公开了白帽子发现的一个严重的Clickjacking漏洞,这个漏洞可以造成的影响是:在用户的MM插件钱包处于解锁状态,用户访问恶意的站点时,站点可以利用iframe标签将解锁的MM插件钱包页面嵌入到网页中并进行隐藏,然后引导用户在网站上进行点击操作,实际上是在MM解锁的页面中进行操作,从而盗取用户的数字货币或藏品等相关资产。鉴于MM的用户体量较大,且ForkMetaMask插件钱包的项目也比较多,因此在MM公开这个漏洞后,我们立即开始对这个漏洞进行复现,然后开始搜寻这个漏洞对于其他ForkMetaMask项目的影响。

随后,慢雾安全团队尽可能地通知受到影响的项目方,并引导项目方进行修复。现在将这个Clickjacking漏洞的分析公开出来避免后续的项目踩坑。

漏洞分析

由于MM在发布这个Clickjacking漏洞的时候并没有详细的说明,仅是解释了这个漏洞的利用场景以及能够产生的危害,所以我在进行复现的时候也遇到了挺多坑,所以为了让大家能够更好地顺畅地理解整个漏洞,我在进行漏洞分析之前先补充下一个知识点。

PraSaga和Metahug正在合作通过Roblox提供Web3教育产品:金色财经消息,PraSaga宣布与全球慈善组织Metahug建立合作伙伴关系,帮助资源有限的青少年理解和使用Web3。Metahug将通过流行的青少年游戏平台Roblox向孩子们展示如何使用和创建Web3工具,PraSaga提供免费访问其SagaChain以支持该计划。

此次合作将通过Metahug返校Roblox黑客马拉松来庆祝,鼓励全球年轻学生在该平台上进行创作和协作。该计划将提供游戏教育:各种Web3主题,包括区块链、DAO和所有权。(prnewswire)[2022/8/4 2:58:07]

我们来了解下Manifest-WebAccessibleResources。在浏览器扩展钱包中有这么一个配置:web_accessible_resources,其用来约束Web页面能够访问到浏览器扩展的哪些资源,并且在默认的情况下是Web页面访问不到浏览器扩展中的资源文件,仅浏览器扩展的本身才能访问到浏览器扩展的资源。简而言之就是http/https等协议下的页面默认是没法访问到chrome-extension,当然如果扩展钱包配置了web_accessible_resources将扩展钱包内部的资源暴露出来,那么就能被http/https等协议下的页面访问到了。

NirvanaMeta同MarsCity 、Roblux Corporation合作共同开发“火星城市”:据官方消息,NirvanaMeta同MarsCity,Roblux Corporation 游戏公司建立了合作,共同开发一款火星生态游戏,用户可以通过MCT代币购买土地,道具,NFT,工具,广告牌,玩法多样化,用户可以通过游戏赚取收益,体验火星构建的过程。[2022/4/10 14:16:17]

而MM扩展钱包在10.14.6之前的版本一直保留着"web_accessible_resources":的配置,而这个配置是漏洞得以被利用的一个关键点。

METAXDAO获“全球区块链最佳DAO生态科技创新大奖”:3月25日“全球区块链最佳DAO生态科技创新大奖”正式揭晓,马来西亚前首相、国会议员、巫通党主席、经济总顾问拿督-斯里纳吉布,出席颁奖仪式并为大奖得主META XDAO项目颁奖。

META XDAO 早期投资人拿督-斯里梁启发阁下在发表获奖感言中说到:衷心的感谢前首相拿督-斯里纳吉布先生为META XDAO颁奖和对META XDAO 的高度认可,同时感谢52个国家和社区的认可,感谢各位领导,贵宾,社会各界人士对META XDAO支持和参与,感谢META XDAO 全球粉丝的支持和参与。[2022/3/26 14:18:42]

然而在进行漏洞分析的时候,发现在app/scripts/phishing-detect.js(v10.14.5)中已经对钓鱼页面的跳转做了协议的限制。。

Orange Comet 宣布成为 AMC《行尸走肉》官方授权收藏品NFT合作伙伴:金色财经报道,区块链体验公司Orange Comet宣布与 AMC 合作,成为美剧《行尸走肉》及其周边元宇宙的NFT生产商和市场商。NFT将在由Eluvio的生态友好型区块链技术驱动的Orange Comet Marketplace上销售,该交易由Striker Entertainment促成。[2022/2/3 9:28:22]

我们继续跟进这个协议限制的改动时间点,发现是在如下这个commit中添加了这个限制,也就是说在v10.14.1之前由于没有对跳转的协议进行限制,导致Clickjacking漏洞可以轻易被利用。

相关的commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

Metis与Celer达成合作,推出METIS流动性挖矿计划:12月28日消息,Layer2 基础协议 Metis 与 Layer2 扩容协议 Celer Network 达成合作,共同推出 METIS Token 流动性挖矿计划,以庆祝 Celer 与 Metis Andromeda 主网的整合。用户可在 Celer 推出的跨链支付网络 cBridge 进行具体的流动性挖矿操作。[2021/12/28 8:08:36]

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

为了验证代码的分析过程,我们切换到protocol限制之前的版本v10.14.0进行测试,发现可以轻松复现整个攻击过程。

但是在MM公开的报告中也提到,Clickjacking漏洞是在v10.14.6进行了修复,所以v10.14.5是存在漏洞的,再继续回头看这里的猜想。。

经过反复翻阅代码,在v10.14.5以及之前版本的代码,会在钓鱼页面提示的时候,如果用户点击了continuingatyourownrisk.之后就会将这个hostname加入到本地的白名单列表中。从而在下一次访问到该网站的时候就不会再出现MetaMaskPhishingDetection的提醒。

比如这个钓鱼网站:ethstake.exchange,通过iframe标签将钓鱼网站嵌入到网页中,然后利用Clickjacking漏洞就能将恶意的钓鱼网站加入到白名单中,同时在用户下一次访问钓鱼网站的时候MM不会再继续弹出警告。

分析结论

如上述的分析过程,其实MM近期修复的是两个Clickjacking漏洞,在复现过程中发现最新的v10.14.6已经将web_accessible_resources的相关配置移除了,彻底修复了MetaMaskPhishingDetection页面的点击劫持的问题。

利用Clickjacking漏洞诱导用户进行转账的修复:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

利用Clickjacking漏洞将钓鱼网站加入到白名单的修复:

https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢雾安全团队对chrome扩展商店中的各个知名的扩展钱包进行了Clickjacking的漏洞检测,发现如下的钱包受到Clickjacking漏洞影响:

CoinbaseWallet(v2.17.2)

Coin98Wallet(v6.0.6)

MaiarDeFiWallet(v1.2.17)

慢雾安全团队第一时间联系项目方团队,但是到目前为止部分项目方还未反馈,并且MM公开这个漏洞至今已经过去了11天。为了避免用户因为该漏洞遭受损失,慢雾安全团队选择公开漏洞的分析。如果受影响的相关项目方看到这篇文章需要协助请联系慢雾安全团队。

慢雾安全团队再次提醒浏览器扩展钱包项目方如果有基于MetaMask

慢雾安全团队建议普通用户在项目方还未修复漏洞之前可以先暂时停止使用这些扩展钱包,等待钱包官方发布修复版本后,用户可以及时更新到已修复的版本进行使用。

标签:METETAMETAINGmetis币会成为公链吗METACLOTH币metaufo币多少钱一个Sterlingcoin

莱特币热门资讯
OIN:外媒:造成UST崩盘的“攻击者”钱包实际为Terraform Labs管理的钱包

据CoinDeskKorea报道,给算法稳定币TerraUSD造成致命打击的“攻击者”钱包是TerraformLabs管理的钱包.

1900/1/1 0:00:00
比特币:金色观察|鲍威尔听证会Day2:稳定币监管时代到来

2022年6月23日22:00,美联储主席鲍威尔再度亮相国会,出席众议院金融服务委员会的半年度货币政策报告听证。会上,鲍威尔重申鹰派主张,即“美联储关于抗击美国高通胀的承诺是无条件的”.

1900/1/1 0:00:00
比特币:GBTC 如何从「牛市发动机」变成「暴雷导火索」

无论是曾经的一线VC三箭资本,还是一度估值高达30亿美元的BlockFi皆踩坑灰度发行的比特币信托基金GBTC。熊市是流动性乐章的休止符.

1900/1/1 0:00:00
ETH:红杉资本Web3布局(附项目深度解读)

风投资金正不断涌入“Web3”。伴随着去年元宇宙概念的走红,Web3也成为了今年最火的名词。小到币圈的创业者,大到顶级的VC,无不都在谈论有关Web3的话题.

1900/1/1 0:00:00
USD:详解功能代币的价值来源及设计方法

Xtoearn的一个潮流逐渐受到大家追捧,可惜的是很多系统的代币设计都不是很成功。其中的原因有很多,但是一个最重要的原因是无脑撒币:即简单的因为用户使用了平台就给予用户代币.

1900/1/1 0:00:00
DEF:对加密货币崩盘和周期性的思考

加密货币在这一轮周期的表现与过往不尽相同,但我们仍然相信它未来的潜力。 你的TVL是不安全的在Terra崩溃和TVL逃离DeFi之后,许多人开始质疑)受人喜爱的DeFi协议的健康和效用.

1900/1/1 0:00:00