Slow Mist: Tiện ích mở rộng độc hại của Chrome đã đánh cắp hàng triệu đô la, đã được giải quyết

avatar
慢雾科技
5tháng trước
Bài viết có khoảng 7362từ,đọc toàn bộ bài viết mất khoảng 10 phút
Bài viết này hy vọng sẽ giúp người dùng và nền tảng nâng cao khả năng bảo vệ tính bảo mật cho tài khoản và tài sản của mình thông qua sáu câu hỏi, câu trả lời và đề xuất bảo mật.

Tác giả gốc: Nhóm bảo mật 23pds @slowmist

lý lịch

Vào ngày 3 tháng 6 năm 2024, người dùng Twitter @CryptoNakamao đã đăng về cách anh ta tải xuống tiện ích mở rộng Aggr độc hại của Chrome, dẫn đến việc bị đánh cắp 1 triệu đô la Mỹ. Điều này khiến phần lớn người dùng cộng đồng tiền điện tử chú ý đến rủi ro của tiện ích mở rộng và lo lắng về nó. bảo mật tài sản tiền điện tử của riêng họ. Vào ngày 31 tháng 5, nhóm bảo mật SlowMist đã xuất bản bài báo Wolf in Sheeps Clothing | Phân tích hành vi trộm tiện ích mở rộng Chrome giả mạo, trong đó cung cấp phân tích chi tiết về các phương pháp xấu xa của tiện ích mở rộng Aggr độc hại. Do người dùng thiếu kiến thức nền tảng về tiện ích mở rộng trình duyệt, Giám đốc An toàn Thông tin SlowMist 23 pds giải thích kiến thức cơ bản và rủi ro tiềm ẩn của tiện ích mở rộng thông qua sáu câu hỏi và sáu câu trả lời trong bài viết này, đồng thời đưa ra đề xuất để xử lý các rủi ro tiện ích mở rộng, hy vọng để giúp người dùng cá nhân và giao dịch. Nền tảng cải thiện khả năng bảo vệ tính bảo mật của tài khoản và tài sản.

Slow Mist: Tiện ích mở rộng độc hại của Chrome đã đánh cắp hàng triệu đô la, đã được giải quyết

(https://x.com/im 23 pds/status/1797528115897626708)

Hỏi đáp

1. Tiện ích mở rộng của Chrome là gì?

Tiện ích mở rộng của Chrome là một plugin được thiết kế cho Google Chrome có thể mở rộng chức năng và hoạt động của trình duyệt. Họ có thể tùy chỉnh trải nghiệm duyệt web của người dùng, thêm tính năng hoặc nội dung mới hoặc tương tác với trang web. Tiện ích mở rộng của Chrome thường được xây dựng từ HTML, CSS, JavaScript và các công nghệ web khác.

Cấu trúc của tiện ích mở rộng Chrome thường bao gồm các phần sau:

  • Manifest.json: Tệp cấu hình tiện ích mở rộng, xác định thông tin cơ bản của tiện ích mở rộng (chẳng hạn như tên, phiên bản, quyền, v.v.).

  • Tập lệnh nền: Chạy trong nền của trình duyệt để xử lý các sự kiện và tác vụ dài hạn.

  • Tập lệnh nội dung: Chạy trong ngữ cảnh của các trang web và có thể tương tác trực tiếp với các trang web.

  • Giao diện người dùng (UI): chẳng hạn như các nút thanh công cụ của trình duyệt, cửa sổ bật lên, trang tùy chọn, v.v.

2. Tiện ích mở rộng của Chrome có tác dụng gì?

  • Chặn quảng cáo: Tiện ích mở rộng chặn và chặn quảng cáo trên các trang web, cải thiện tốc độ tải trang web và trải nghiệm người dùng. Ví dụ: AdBlock và uBlock Origin.

  • Quyền riêng tư và bảo mật: Một số tiện ích mở rộng có thể nâng cao quyền riêng tư và bảo mật của người dùng, chẳng hạn như ngăn chặn theo dõi, mã hóa thông tin liên lạc, quản lý mật khẩu, v.v. Ví dụ: Privacy Badger và LastPass.

  • Công cụ năng suất: Tiện ích mở rộng có thể giúp người dùng cải thiện năng suất, chẳng hạn như quản lý tác vụ, ghi chú, theo dõi thời gian, v.v. Ví dụ: Todoist và Evernote Web Clipper.

  • Công cụ dành cho nhà phát triển: Cung cấp các công cụ gỡ lỗi và phát triển cho nhà phát triển web, chẳng hạn như xem cấu trúc trang web, mã gỡ lỗi, phân tích yêu cầu mạng, v.v. Ví dụ: Công cụ dành cho nhà phát triển React và Người đưa thư.

  • Phương tiện truyền thông xã hội và giao tiếp: Tiện ích mở rộng có thể tích hợp các công cụ giao tiếp và phương tiện truyền thông xã hội để hỗ trợ người dùng xử lý các thông báo, tin nhắn trên mạng xã hội, v.v. trong khi duyệt web. Ví dụ: Grammarly và Facebook Messenger.

  • Tùy chỉnh trang web: Người dùng có thể tùy chỉnh giao diện và hoạt động của trang web thông qua các tiện ích mở rộng, chẳng hạn như thay đổi chủ đề, sắp xếp lại các thành phần trang, thêm các tính năng bổ sung, v.v. Ví dụ: Stylish và Tampermonkey.

  • Tự động hóa tác vụ: Tiện ích mở rộng có thể giúp người dùng tự động hóa các tác vụ lặp đi lặp lại, chẳng hạn như tự động điền biểu mẫu, tải xuống hàng loạt tệp, v.v. Ví dụ: iMacros và DownThemAll.

  • Dịch ngôn ngữ: Một số tiện ích mở rộng có thể dịch nội dung web theo thời gian thực để giúp người dùng hiểu các trang web bằng các ngôn ngữ khác nhau, chẳng hạn như Google Dịch.

  • Hỗ trợ tiền điện tử: Các tiện ích mở rộng có thể giúp người dùng thực hiện các giao dịch tiền điện tử thuận tiện hơn, chẳng hạn như MetaMask, v.v.

Tính linh hoạt và đa dạng của các tiện ích mở rộng của Chrome cho phép chúng được áp dụng cho hầu hết mọi tình huống duyệt web, giúp người dùng hoàn thành nhiều tác vụ khác nhau hiệu quả hơn.

3. Tiện ích mở rộng của Chrome có những quyền gì sau khi cài đặt?

Sau khi cài đặt, tiện ích mở rộng của Chrome có thể yêu cầu một loạt quyền để thực hiện các chức năng cụ thể. Các quyền này được khai báo trong tệp kê khai.json của tiện ích mở rộng và người dùng sẽ được nhắc xác nhận trong quá trình cài đặt. Các quyền phổ biến bao gồm:

  • <all_urls>: Cho phép tiện ích mở rộng truy cập nội dung từ tất cả các trang web. Đây là quyền rộng rãi cho phép tiện ích mở rộng đọc và sửa đổi tất cả dữ liệu của trang web.

  • tab: Cho phép tiện ích mở rộng truy cập thông tin tab của trình duyệt, bao gồm lấy các tab hiện đang mở, tạo và đóng tab, v.v.

  • activeTab: cho phép tiện ích mở rộng truy cập tạm thời vào tab hiện đang hoạt động, thường được sử dụng để thực hiện các hành động cụ thể khi người dùng nhấp vào nút tiện ích mở rộng.

  • lưu trữ: Cho phép tiện ích mở rộng sử dụng API lưu trữ của Chrome để lưu trữ và truy xuất dữ liệu. Điều này có thể được sử dụng để lưu cài đặt của tiện ích mở rộng, dữ liệu người dùng, v.v.

  • Cookies: Cho phép tiện ích mở rộng truy cập và sửa đổi cookie trong trình duyệt.

  • webRequest và webRequestBlocking: Cho phép tiện ích mở rộng chặn và sửa đổi các yêu cầu mạng. Các quyền này thường được sử dụng cho các tiện ích mở rộng chặn quảng cáo và bảo vệ quyền riêng tư.

  • dấu trang: Cho phép tiện ích mở rộng truy cập và sửa đổi dấu trang của trình duyệt.

  • history: Cho phép tiện ích mở rộng truy cập và sửa đổi lịch sử của trình duyệt.

  • thông báo: Cho phép tiện ích mở rộng hiển thị thông báo trên màn hình.

  • contextMenus: Cho phép tiện ích mở rộng thêm các mục menu tùy chỉnh vào menu ngữ cảnh của trình duyệt (menu chuột phải).

  • định vị địa lý: Cho phép tiện ích mở rộng truy cập thông tin vị trí địa lý của người dùng.

  • clipboardRead và clipboardWrite: Cho phép tiện ích mở rộng đọc và ghi nội dung vào clipboard.

  • tải xuống: Cho phép tiện ích mở rộng quản lý tải xuống, bao gồm bắt đầu, tạm dừng và hủy tải xuống.

  • quản lý: Cho phép tiện ích mở rộng quản lý các tiện ích mở rộng và ứng dụng khác của trình duyệt.

  • nền: Cho phép tiện ích mở rộng chạy các tác vụ dài trong nền.

  • thông báo: Cho phép tiện ích mở rộng hiển thị thông báo hệ thống.

  • webNavigation: Cho phép tiện ích mở rộng giám sát và sửa đổi hành vi điều hướng của trình duyệt.

Các quyền này cho phép các tiện ích mở rộng của Chrome thực hiện nhiều chức năng mạnh mẽ và đa dạng, nhưng cũng có nghĩa là chúng có khả năng truy cập vào dữ liệu nhạy cảm của người dùng, chẳng hạn như cookie, thông tin xác thực, v.v.

4. Tại sao các tiện ích mở rộng độc hại của Chrome có thể đánh cắp quyền của người dùng?

Các tiện ích mở rộng độc hại của Chrome có thể khai thác các quyền được yêu cầu để lấy cắp quyền và thông tin xác thực của người dùng vì các tiện ích mở rộng này có thể truy cập và thao túng trực tiếp môi trường và dữ liệu trình duyệt của người dùng. Nguyên nhân và cách thức cụ thể như sau:

  • Truy cập quyền mở rộng: Các tiện ích mở rộng độc hại thường yêu cầu một số lượng lớn quyền, chẳng hạn như truy cập tất cả các trang web (<all_urls>), đọc và sửa đổi tab (tab) trình duyệt, truy cập bộ lưu trữ (storage) của trình duyệt, v.v. Các quyền này cung cấp cho tiện ích mở rộng độc hại quyền truy cập rộng rãi vào dữ liệu và hoạt động duyệt web của người dùng.

  • Thao túng các yêu cầu mạng: Các tiện ích mở rộng độc hại có thể sử dụng quyền webRequest và webRequestBlocking để chặn và sửa đổi các yêu cầu mạng nhằm đánh cắp thông tin xác thực người dùng và dữ liệu nhạy cảm. Ví dụ: chúng có thể chặn dữ liệu biểu mẫu và lấy tên người dùng cũng như mật khẩu khi người dùng đăng nhập vào một trang web.

  • Đọc và viết nội dung trang: Thông qua các tập lệnh nội dung, các tiện ích mở rộng độc hại có thể nhúng mã vào các trang web để đọc và sửa đổi nội dung trang. Điều này có nghĩa là họ có thể đánh cắp bất kỳ dữ liệu nào người dùng nhập trên trang web, chẳng hạn như thông tin biểu mẫu, truy vấn tìm kiếm, v.v.

  • Truy cập bộ nhớ trình duyệt: Tiện ích mở rộng độc hại có thể sử dụng quyền lưu trữ để truy cập và lưu trữ dữ liệu cục bộ của người dùng, bao gồm bộ nhớ trình duyệt (chẳng hạn như LocalStorage và IndexedDB) có thể chứa thông tin nhạy cảm.

  • Thao tác với bảng nhớ tạm: Với quyền Đọc và ghi bảng nhớ tạm, tiện ích mở rộng độc hại có thể đọc và ghi nội dung trong bảng nhớ tạm của người dùng, từ đó đánh cắp hoặc giả mạo thông tin đã sao chép và dán của người dùng.

  • Ngụy trang thành một trang web hợp pháp: Các tiện ích mở rộng độc hại có thể ngụy trang thành các trang web hợp pháp bằng cách sửa đổi nội dung của trình duyệt hoặc chuyển hướng các trang web mà người dùng đã truy cập và khiến người dùng nhập thông tin nhạy cảm.

  • Chạy nền lâu dài: Các tiện ích mở rộng độc hại có quyền ở chế độ nền có thể tiếp tục chạy ở chế độ nền, ngay cả khi người dùng không tích cực sử dụng chúng. Điều này cho phép họ giám sát hoạt động của người dùng trong thời gian dài và thu thập lượng lớn dữ liệu.

  • Hoạt động tải xuống: Sử dụng quyền tải xuống, các tiện ích mở rộng độc hại có thể tải xuống và thực thi các tệp độc hại, gây nguy hiểm hơn nữa cho bảo mật hệ thống của người dùng.

5. Tại sao nạn nhân của tiện ích mở rộng độc hại này lại bị đánh cắp quyền và tiền của họ bị xâm phạm?

Bởi vì lần này tiện ích mở rộng Aggr độc hại vừa lấy được thông tin cơ bản mà chúng ta đã nói ở trên, nên sau đây là một đoạn nội dung quyền của tệp express.json plug-in độc hại:

  • bánh quy

  • tab

  • <all_urls>

  • kho

6. Tiện ích mở rộng độc hại của Chrome có thể làm gì sau khi đánh cắp cookie của người dùng?

  • Truy cập tài khoản: Các tiện ích mở rộng độc hại có thể sử dụng cookie bị đánh cắp để mô phỏng người dùng đăng nhập vào tài khoản nền tảng giao dịch, từ đó truy cập thông tin tài khoản của người dùng, bao gồm số dư, lịch sử giao dịch, v.v.

  • Thực hiện giao dịch: Cookie bị đánh cắp có thể cho phép tiện ích mở rộng độc hại thực hiện giao dịch, mua hoặc bán tiền điện tử hoặc thậm chí chuyển tài sản sang tài khoản khác mà không có sự đồng ý của người dùng.

  • Rút tiền: Nếu cookie chứa thông tin phiên và mã thông báo xác thực, tiện ích mở rộng độc hại có thể bỏ qua xác thực hai yếu tố (2FA) và bắt đầu rút tiền trực tiếp, chuyển tiền điện tử của người dùng sang ví do kẻ tấn công kiểm soát.

  • Truy cập thông tin nhạy cảm: Tiện ích mở rộng độc hại có thể truy cập và thu thập thông tin nhạy cảm trong tài khoản nền tảng giao dịch của người dùng, chẳng hạn như tài liệu xác thực, địa chỉ, v.v., có thể được sử dụng để tiếp tục đánh cắp danh tính hoặc gian lận.

  • Sửa đổi cài đặt tài khoản: Tiện ích mở rộng độc hại có thể thay đổi cài đặt tài khoản của người dùng, chẳng hạn như địa chỉ email bị ràng buộc, số điện thoại di động, v.v., để kiểm soát tài khoản hơn nữa và đánh cắp thêm thông tin.

  • Mạo danh người dùng để thực hiện các cuộc tấn công kỹ thuật xã hội: Sử dụng tài khoản người dùng để thực hiện các cuộc tấn công kỹ thuật xã hội, chẳng hạn như gửi thông tin gian lận đến danh bạ của người dùng để xúi giục họ thực hiện các hoạt động không an toàn hoặc cung cấp thông tin nhạy cảm hơn.

Phản hồi

Nhìn thấy điều này, có thể đa số người dùng sẽ nghĩ, chúng ta nên làm gì đây, chỉ cần ngắt kết nối Internet và ngừng chơi? Bạn có sử dụng máy tính riêng không? Bạn không cần nền tảng đăng nhập web? Có rất nhiều câu nói về việc giết người bằng gậy trên Internet, nhưng thực tế chúng ta có thể học cách ngăn chặn những rủi ro đó một cách hợp lý:

Biện pháp đối phó với người dùng cá nhân:

  • Nâng cao nhận thức về an ninh cá nhân: Gợi ý phòng ngừa đầu tiên là nâng cao nhận thức về an ninh cá nhân và luôn giữ thái độ hoài nghi.

  • Chỉ cài đặt tiện ích mở rộng từ các nguồn đáng tin cậy: Cài đặt tiện ích mở rộng từ Cửa hàng Chrome trực tuyến hoặc các nguồn đáng tin cậy khác, đồng thời đọc đánh giá của người dùng và yêu cầu cấp phép để cố gắng không cấp cho tiện ích mở rộng quyền truy cập không cần thiết.

  • Sử dụng môi trường trình duyệt an toàn: tránh cài đặt các tiện ích mở rộng từ các nguồn không xác định, thường xuyên xem xét và xóa các tiện ích mở rộng không cần thiết, cài đặt các trình duyệt khác nhau, tách biệt các trình duyệt plug-in và trình duyệt quỹ giao dịch.

  • Thường xuyên kiểm tra hoạt động tài khoản: Thường xuyên kiểm tra hoạt động đăng nhập tài khoản và hồ sơ giao dịch, đồng thời có biện pháp xử lý ngay lập tức nếu phát hiện hành vi đáng ngờ.

  • Nhớ đăng xuất: Hãy nhớ đăng xuất sau khi sử dụng nền tảng điều hành web. Để thuận tiện, nhiều người không bấm đăng xuất sau khi đăng nhập vào nền tảng để hoàn tất thao tác. Thói quen này tiềm ẩn nhiều rủi ro về bảo mật.

  • Sử dụng ví phần cứng: Đối với số lượng lớn tài sản, hãy sử dụng ví phần cứng để lưu trữ nhằm tăng tính bảo mật.

  • Cài đặt trình duyệt và công cụ bảo mật: Sử dụng các cài đặt và tiện ích mở rộng an toàn của trình duyệt (chẳng hạn như trình chặn quảng cáo, công cụ bảo mật) để giảm nguy cơ có các tiện ích mở rộng độc hại.

  • Sử dụng phần mềm bảo mật: Cài đặt và sử dụng phần mềm bảo mật để phát hiện và ngăn chặn các tiện ích mở rộng độc hại và phần mềm độc hại khác thực hiện hành vi xấu.

Cuối cùng, có những đề xuất kiểm soát rủi ro cho nền tảng Thông qua các biện pháp này, nền tảng giao dịch có thể giảm thiểu rủi ro bảo mật do các tiện ích mở rộng độc hại của Chrome mang lại cho người dùng:

  • Buộc sử dụng xác thực hai yếu tố (2FA):

- Kích hoạt 2FA trên toàn cầu: Yêu cầu tất cả người dùng kích hoạt xác thực hai yếu tố (2FA) khi đăng nhập và thực hiện các thao tác quan trọng (như giao dịch, đặt lệnh, rút tiền) để đảm bảo rằng ngay cả khi cookie của người dùng bị đánh cắp, kẻ tấn công cũng không thể dễ dàng truy cập tài khoản.

- Nhiều phương thức xác minh: Hỗ trợ nhiều phương thức xác minh phụ, chẳng hạn như SMS, email, Google Authenticator và mã thông báo phần cứng.

  • Quản lý phiên và bảo mật:

- Quản lý thiết bị: Cung cấp cho người dùng khả năng xem và quản lý các thiết bị đã đăng nhập, cho phép người dùng đăng xuất khỏi phiên với các thiết bị không xác định bất kỳ lúc nào.

- Session timeout: Thực hiện chính sách session timeout để tự động đăng xuất các phiên không hoạt động trong thời gian dài nhằm giảm nguy cơ bị trộm phiên.

- Giám sát địa chỉ IP và vị trí địa lý: Phát hiện và cảnh báo người dùng về các lần thử đăng nhập từ các địa chỉ IP hoặc vị trí địa lý bất thường và chặn những lần đăng nhập này nếu cần.

  • Tăng cường cài đặt bảo mật tài khoản:

- Thông báo bảo mật: Gửi ngay thông báo cho người dùng về các thao tác quan trọng như đăng nhập tài khoản, thay đổi mật khẩu, rút tiền,… Người dùng có thể được nhắc nhở về các hoạt động bất thường qua email hoặc SMS.

- Chức năng đóng băng tài khoản: Cung cấp cho người dùng tùy chọn đóng băng nhanh tài khoản trong các tình huống khẩn cấp để kiểm soát phạm vi thiệt hại.

  • Tăng cường hệ thống giám sát và kiểm soát rủi ro:

- Phát hiện hành vi bất thường: Sử dụng máy học và phân tích dữ liệu lớn để theo dõi hành vi của người dùng, xác định các mô hình giao dịch và hoạt động tài khoản bất thường, đồng thời tiến hành can thiệp kiểm soát rủi ro kịp thời.

- Cảnh báo kiểm soát rủi ro: Đưa ra cảnh báo sớm và hạn chế các hành vi đáng ngờ như thay đổi thông tin tài khoản thường xuyên, đăng nhập thất bại thường xuyên, v.v.

  • Cung cấp cho người dùng các công cụ và giáo dục về bảo mật:

- Giáo dục bảo mật: Phổ biến kiến thức bảo mật đến người dùng thông qua các tài khoản mạng xã hội chính thức, email, thông báo trên nền tảng và các kênh khác, nhắc nhở người dùng chú ý đến những rủi ro của tiện ích mở rộng trình duyệt và cách bảo vệ tài khoản của mình.

- Công cụ bảo mật: Cung cấp các plugin hoặc tiện ích mở rộng chính thức của trình duyệt để giúp người dùng tăng cường bảo mật tài khoản, phát hiện và cảnh báo người dùng về các mối đe dọa bảo mật có thể xảy ra.

Phần kết luận

Thành thật mà nói, từ góc độ kỹ thuật, việc thường xuyên thực hiện tất cả các biện pháp kiểm soát rủi ro nêu trên có thể không phải là cách tốt nhất. Bảo mật và kinh doanh cần phải được cân bằng. Nếu bảo mật quá quan trọng, trải nghiệm người dùng sẽ kém. Ví dụ: cần phải xác thực phụ khi đặt hàng. Nhiều người dùng chỉ cần tắt nó đi để đặt hàng nhanh chóng! Kết quả là thuận tiện cho bạn và tin tặc, vì một khi cookie bị đánh cắp và tiền không thể rút được, tin tặc có thể chơi với nhau và gây thiệt hại cho tài sản của người dùng. Do đó, các phương pháp kiểm soát rủi ro sẽ khác nhau đối với các nền tảng và người dùng khác nhau. Về sự cân bằng giữa bảo mật và kinh doanh, các nền tảng khác nhau có những cân nhắc khác nhau. Chúng tôi hy vọng rằng nền tảng này có thể bảo vệ tính bảo mật của tài khoản và tài sản người dùng trong khi xem xét trải nghiệm của người dùng.

Bài viết gốc, tác giả:慢雾科技。Tuyển dụng: Nhân viên kinh doanh phần mềm theo dự án report@odaily.email;Vi phạm quy định của pháp luật.

Odaily nhắc nhở, mời đông đảo độc giả xây dựng quan niệm đúng đắn về tiền tệ và khái niệm đầu tư, nhìn nhận hợp lý về blockchain, nâng cao nhận thức về rủi ro; Đối với manh mối phạm tội phát hiện, có thể tích cực tố cáo phản ánh với cơ quan hữu quan.

Sự an toàn
慢雾科技

慢雾科技

Xem thêm
Đọc nhiều nhất
Lựa chọn của người biên tập
twitter.png
discord.png
telegram.png Group
telegram.png Channel
weibo.png
Github.png