Auteur original : équipe de sécurité 23pds@slowmist
arrière-plan
Le 3 juin 2024, l'utilisateur de Twitter @CryptoNakamao a expliqué comment il avait téléchargé l'extension malveillante Chrome Aggr, ce qui a entraîné le vol d'un million de dollars. Cela a amené la majorité des utilisateurs de la communauté cryptographique à prêter attention au risque d'extension et à s'inquiéter du risque. sécurité de leurs actifs cryptographiques. Le 31 mai, l'équipe de sécurité de SlowMist a publié l'article Wolf in Sheep's Clothing | Analysis of Fake Chrome Extension Theft, qui fournissait une analyse détaillée des méthodes malveillantes de l'extension malveillante Aggr. Compte tenu du manque de connaissances de base sur les extensions de navigateur parmi les utilisateurs, SlowMist Chief Information Security Officer 23 pds explique les connaissances de base et les risques potentiels des extensions à travers six questions et six réponses dans cet article, et fournit des suggestions pour gérer les risques liés aux extensions, en espérant pour aider les utilisateurs individuels et les transactions. La plateforme améliore la capacité à protéger la sécurité des comptes et des actifs.
(https://x.com/im 23 pds/status/1797528115897626708)
Questions et réponses
1. Que sont les extensions Chrome ?
Chrome Extension est un plug-in conçu pour Google Chrome qui peut étendre les fonctionnalités et le comportement du navigateur. Ils peuvent personnaliser l'expérience de navigation d'un utilisateur, ajouter de nouvelles fonctionnalités ou du contenu ou interagir avec le site Web. Les extensions Chrome sont généralement créées à partir de HTML, CSS, JavaScript et d'autres technologies Web.
La structure d'une extension Chrome se compose généralement des parties suivantes :
Manifest.json : fichier de configuration de l'extension, qui définit les informations de base de l'extension (telles que le nom, la version, les autorisations, etc.).
Scripts en arrière-plan : exécutés en arrière-plan du navigateur pour gérer les événements et les tâches à long terme.
Scripts de contenu : s'exécutent dans le contexte de pages Web et peuvent interagir directement avec les pages Web.
Interface utilisateur (UI) : telle que les boutons de la barre d'outils du navigateur, les fenêtres contextuelles, les pages d'options, etc.
2. À quoi servent les extensions Chrome ?
Blocage des publicités : l'extension bloque et bloque les publicités sur les pages Web, améliorant ainsi la vitesse de chargement des pages Web et l'expérience utilisateur. Par exemple, AdBlock et uBlock Origin.
Confidentialité et sécurité : certaines extensions peuvent améliorer la confidentialité et la sécurité des utilisateurs, par exemple en empêchant le suivi, en cryptant les communications, en gérant les mots de passe, etc. Par exemple, Privacy Badger et LastPass.
Outils de productivité : les extensions peuvent aider les utilisateurs à améliorer leur productivité, comme la gestion des tâches, la prise de notes, le suivi du temps, etc. Par exemple, Todoist et Evernote Web Clipper.
Outils de développement : fournissent des outils de débogage et de développement aux développeurs Web, tels que l'affichage de la structure des pages Web, le débogage du code, l'analyse des requêtes réseau, etc. Par exemple, React Developer Tools et Postman.
Médias sociaux et communication : l'extension peut intégrer des outils de médias sociaux et de communication pour permettre aux utilisateurs de gérer plus facilement les notifications, les messages, etc. sur les réseaux sociaux lors de la navigation sur le Web. Par exemple, Grammarly et Facebook Messenger.
Personnalisation des pages Web : les utilisateurs peuvent personnaliser l'apparence et le comportement des pages Web grâce à des extensions, telles que la modification des thèmes, la réorganisation des éléments de la page, l'ajout de fonctionnalités supplémentaires, etc. Par exemple, Stylish et Tampermonkey.
Automatiser les tâches : les extensions peuvent aider les utilisateurs à automatiser les tâches répétitives, telles que le remplissage automatique de formulaires, le téléchargement par lots de fichiers, etc. Par exemple, iMacros et DownThemAll.
Traduction de langue : certaines extensions peuvent traduire le contenu Web en temps réel pour aider les utilisateurs à comprendre les pages Web dans différentes langues, comme Google Translate.
Assistance en matière de crypto-monnaie : les extensions peuvent aider les utilisateurs à rendre les transactions en crypto-monnaie plus pratiques, comme MetaMask, etc.
La flexibilité et la diversité des extensions Chrome leur permettent d'être appliquées à presque tous les scénarios de navigation, aidant ainsi les utilisateurs à effectuer diverses tâches plus efficacement.
3. De quelles autorisations dispose l'extension Chrome une fois installée ?
Une fois installée, une extension Chrome peut demander une série d'autorisations afin d'exécuter des fonctions spécifiques. Ces autorisations sont déclarées dans le fichier manifest.json de l'extension et l'utilisateur est invité à confirmer lors de l'installation. Les autorisations courantes incluent :
: Permet à l'extension d'accéder au contenu de tous les sites Web. Il s'agit d'une autorisation large qui permet à l'extension de lire et de modifier toutes les données du site Web.
onglets : permet à l'extension d'accéder aux informations sur les onglets du navigateur, y compris l'obtention des onglets actuellement ouverts, la création et la fermeture d'onglets, etc.
activeTab : permet à l'extension d'accéder temporairement à l'onglet actuellement actif, généralement utilisé pour effectuer des actions spécifiques lorsque l'utilisateur clique sur le bouton de l'extension.
stockage : permet aux extensions d'utiliser l'API de stockage de Chrome pour stocker et récupérer des données. Cela peut être utilisé pour enregistrer les paramètres de l'extension, les données utilisateur, etc.
Cookies : permet à l'extension d'accéder et de modifier les cookies dans le navigateur.
webRequest et webRequestBlocking : autorisent les extensions à intercepter et à modifier les requêtes réseau. Ces autorisations sont généralement utilisées pour les extensions de blocage des publicités et de protection de la vie privée.
favoris : permet à l'extension d'accéder et de modifier les favoris du navigateur.
historique : permet à l'extension d'accéder et de modifier l'historique du navigateur.
notifications : permet à l’extension d’afficher les notifications du bureau.
contextMenus : permet aux extensions d'ajouter des éléments de menu personnalisés au menu contextuel du navigateur (menu contextuel).
géolocalisation : permet à l'extension d'accéder aux informations de géolocalisation de l'utilisateur.
clipboardRead et clipboardWrite : autorisent les extensions à lire et à écrire le contenu du presse-papiers.
téléchargements : permet à l'extension de gérer les téléchargements, y compris le démarrage, la pause et l'annulation des téléchargements.
gestion : Permet à l'extension de gérer les autres extensions et applications du navigateur.
arrière-plan : permet aux extensions d’exécuter des tâches de longue durée en arrière-plan.
notifications : permet à l'extension d'afficher les notifications du système.
webNavigation : permet aux extensions de surveiller et de modifier le comportement de navigation du navigateur.
Ces autorisations permettent aux extensions Chrome d'exécuter de nombreuses fonctions puissantes et diverses, mais signifient également qu'elles ont le potentiel d'accéder aux données sensibles de l'utilisateur, telles que les cookies, les informations d'authentification, etc.
4. Pourquoi les extensions Chrome malveillantes peuvent-elles voler les autorisations des utilisateurs ?
Les extensions Chrome malveillantes peuvent exploiter les autorisations demandées pour voler les autorisations et les informations d'authentification d'un utilisateur, car ces extensions ont un accès direct et une manipulation de l'environnement et des données du navigateur de l'utilisateur. Les raisons et méthodes spécifiques sont les suivantes :
Accès étendu aux autorisations : les extensions malveillantes demandent généralement un grand nombre d'autorisations, telles que l'accès à tous les sites Web (), la lecture et la modification des onglets du navigateur (onglets), l'accès au stockage du navigateur (stockage), etc. Ces autorisations donnent à l'extension malveillante un large accès à l'activité de navigation et aux données d'un utilisateur.
Manipuler les requêtes réseau : une extension malveillante peut utiliser les autorisations webRequest et webRequestBlocking pour intercepter et modifier les requêtes réseau afin de voler les informations d'authentification des utilisateurs et les données sensibles. Par exemple, ils peuvent intercepter les données d’un formulaire et obtenir des noms d’utilisateur et des mots de passe lorsque les utilisateurs se connectent à un site Web.
Lecture et écriture du contenu des pages : via des scripts de contenu, des extensions malveillantes peuvent intégrer du code dans des pages Web pour lire et modifier le contenu des pages. Cela signifie qu'ils peuvent voler toutes les données qu'un utilisateur saisit sur une page Web, telles que les informations d'un formulaire, les requêtes de recherche, etc.
Accéder au stockage du navigateur : une extension malveillante peut utiliser les autorisations de stockage pour accéder et stocker les données locales de l'utilisateur, y compris le stockage du navigateur (tel que LocalStorage et IndexedDB) qui peut contenir des informations sensibles.
Manipuler le presse-papiers : avec les autorisations clipboardRead et clipboardWrite, une extension malveillante peut lire et écrire le contenu du presse-papiers de l'utilisateur, volant ou falsifiant ainsi les informations copiées et collées de l'utilisateur.
Déguisement en site Web légitime : des extensions malveillantes peuvent se déguiser en sites Web légitimes en modifiant le contenu du navigateur ou en redirigeant les pages Web visitées par les utilisateurs, et inciter les utilisateurs à saisir des informations sensibles.
Exécution en arrière-plan à long terme : les extensions malveillantes dotées d'autorisations en arrière-plan peuvent continuer à s'exécuter en arrière-plan, même si l'utilisateur ne les utilise pas activement. Cela leur permet de surveiller les activités des utilisateurs sur de longues périodes et de collecter de grandes quantités de données.
Téléchargements opérationnels : en utilisant l'autorisation de téléchargement, une extension malveillante peut télécharger et exécuter des fichiers malveillants, compromettant ainsi davantage la sécurité du système de l'utilisateur.
5. Pourquoi les victimes de cette extension malveillante se sont-elles vu voler leurs autorisations et leurs fonds compromis ?
Étant donné que cette fois, l'extension malveillante Aggr vient de recevoir les informations de base dont nous avons parlé ci-dessus, voici un fragment du contenu des autorisations du fichier manifests.json du plug-in malveillant :
biscuits
onglets
stockage
6. Que peut faire une extension Chrome malveillante après avoir volé les cookies des utilisateurs ?
Accéder aux comptes : des extensions malveillantes peuvent utiliser des cookies volés pour simuler la connexion d'utilisateurs à des comptes de plateforme de trading, accédant ainsi aux informations de compte des utilisateurs, notamment les soldes, l'historique des transactions, etc.
Effectuer des transactions : les cookies volés pourraient permettre à une extension malveillante d'effectuer des transactions sans le consentement de l'utilisateur, d'acheter ou de vendre de la cryptomonnaie, ou même de transférer des actifs vers d'autres comptes.
Retirer des fonds : si les cookies contiennent des informations de session et des jetons d'authentification, une extension malveillante pourrait contourner l'authentification à deux facteurs (2FA) et lancer directement un retrait de fonds, transférant ainsi la crypto-monnaie de l'utilisateur vers un portefeuille contrôlé par un attaquant.
Accéder à des informations sensibles : des extensions malveillantes peuvent accéder et collecter des informations sensibles dans les comptes des plateformes de trading des utilisateurs, telles que des documents d'authentification, des adresses, etc., qui peuvent être utilisées à des fins d'usurpation d'identité ou de fraude ultérieure.
Modifier les paramètres du compte : des extensions malveillantes peuvent modifier les paramètres du compte de l'utilisateur, tels que les adresses e-mail liées, les numéros de téléphone mobile, etc., pour contrôler davantage le compte et voler plus d'informations.
Usurpation d'identité pour mener des attaques d'ingénierie sociale : utilisation de comptes d'utilisateurs pour mener des attaques d'ingénierie sociale, telles que l'envoi d'informations frauduleuses aux contacts de l'utilisateur pour les inciter à effectuer des opérations dangereuses ou à fournir des informations plus sensibles.
Réponses
En voyant cela, la majorité des utilisateurs se demandent peut-être : que dois-je faire, simplement me déconnecter d'Internet et arrêter de jouer ? Utilisez-vous un ordinateur séparé ? Vous n'avez pas besoin d'une plateforme de connexion Web ? Il existe de nombreux dictons sur Internet sur le fait de tuer avec un bâton, mais en fait, nous pouvons apprendre comment prévenir raisonnablement de tels risques :
Contre-mesures pour les utilisateurs individuels :
Améliorer la sensibilisation à la sécurité personnelle : La première suggestion de prévention est d’améliorer la sensibilisation à la sécurité personnelle et de toujours maintenir une attitude sceptique.
Installez uniquement des extensions provenant de sources fiables : installez des extensions à partir du Chrome Web Store ou d'autres sources fiables, et lisez les avis des utilisateurs et les demandes d'autorisation pour essayer de ne pas accorder d'accès inutile aux extensions.
Utilisez un environnement de navigation sécurisé : évitez d'installer des extensions provenant de sources inconnues, examinez et supprimez régulièrement les extensions inutiles, installez différents navigateurs, isolez les navigateurs de plug-ins et les navigateurs de fonds de transaction.
Vérifiez régulièrement les activités du compte : vérifiez régulièrement les activités de connexion au compte et les enregistrements de transactions, et prenez des mesures immédiates si un comportement suspect est détecté.
N'oubliez pas de vous déconnecter : N'oubliez pas de vous déconnecter après avoir utilisé la plateforme d'exploitation Web. Par souci de commodité, de nombreuses personnes ne cliquent pas pour se déconnecter après s'être connectées à la plateforme pour terminer l'opération. Cette habitude présente des risques de sécurité.
Utilisez un portefeuille matériel : pour de grandes quantités d’actifs, utilisez un portefeuille matériel pour le stockage afin d’augmenter la sécurité.
Paramètres du navigateur et outils de sécurité : utilisez des paramètres et des extensions de navigateur sécurisés (tels que des bloqueurs de publicités, des outils de confidentialité) pour réduire le risque d'extensions malveillantes.
Utiliser un logiciel de sécurité : installez et utilisez un logiciel de sécurité pour détecter et empêcher les extensions malveillantes et autres logiciels malveillants de faire du mal.
Enfin, il existe des suggestions de contrôle des risques pour la plateforme. Grâce à ces mesures, la plateforme de trading peut réduire les risques de sécurité présentés aux utilisateurs par les extensions Chrome malveillantes :
Pour forcer l’utilisation de l’authentification à deux facteurs (2FA) :
- Activer 2FA à l'échelle mondiale : exiger que tous les utilisateurs activent l'authentification à deux facteurs (2FA) lors de la connexion et de l'exécution d'opérations importantes (telles que le trading, le passage d'ordres, le retrait de fonds) pour garantir que même si les cookies d'un utilisateur sont volés, les attaquants ne peuvent pas y accéder facilement. le compte.
- Plusieurs méthodes de vérification : prend en charge plusieurs méthodes de vérification secondaires, telles que les SMS, les e-mails, Google Authenticator et les jetons matériels.
Gestion et sécurité des sessions :
- Gestion des appareils : offre aux utilisateurs la possibilité d'afficher et de gérer les appareils connectés, permettant aux utilisateurs de se déconnecter des sessions avec des appareils inconnus à tout moment.
- Délai d'expiration de session : mettez en œuvre une politique d'expiration de session pour déconnecter automatiquement les sessions inactives depuis longtemps afin de réduire le risque de vol de session.
- Surveillance des adresses IP et de la géolocalisation : Détectez et alertez les utilisateurs des tentatives de connexion à partir d'adresses IP ou de géolocalisations inhabituelles, et bloquez ces connexions si nécessaire.
Renforcez les paramètres de sécurité du compte :
- Notifications de sécurité : envoyez instantanément des notifications aux utilisateurs sur les opérations importantes telles que la connexion au compte, les changements de mot de passe, les retraits de fonds, etc. Les utilisateurs peuvent être rappelés des activités anormales par e-mail ou SMS.
- Fonction de gel de compte : offre aux utilisateurs la possibilité de geler rapidement les comptes dans des situations d'urgence afin de contrôler l'ampleur des dommages.
Renforcer les systèmes de suivi et de contrôle des risques :
- Détection des comportements anormaux : utilisez l'apprentissage automatique et l'analyse du Big Data pour surveiller le comportement des utilisateurs, identifier les modèles de transactions et les activités de compte anormales et mener une intervention de contrôle des risques en temps opportun.
- Avertissement de contrôle des risques : fournit une alerte précoce et des restrictions sur les comportements suspects tels que des modifications fréquentes des informations de compte, des tentatives de connexion infructueuses fréquentes, etc.
Fournir aux utilisateurs une formation et des outils en matière de sécurité :
- Éducation à la sécurité : vulgarisez les connaissances en matière de sécurité auprès des utilisateurs via les comptes sociaux officiels, les e-mails, les notifications sur la plateforme et d'autres canaux, et rappelez aux utilisateurs de prêter attention aux risques liés aux extensions de navigateur et à la manière de protéger leurs comptes.
- Outils de sécurité : fournissez des plug-ins ou des extensions de navigateur officiels pour aider les utilisateurs à améliorer la sécurité de leur compte, à détecter et à alerter les utilisateurs d'éventuelles menaces de sécurité.
Conclusion
Franchement, d’un point de vue technique, prendre toutes les mesures de contrôle des risques mentionnées ci-dessus n’est souvent pas la meilleure solution. La sécurité et les affaires doivent être équilibrées. Si la sécurité est trop importante, l'expérience utilisateur sera mauvaise. Par exemple, une authentification secondaire est requise lors de la passation de commandes. De nombreux utilisateurs la désactivent simplement pour passer des commandes rapidement ! Le résultat est que cela est pratique pour vous et les pirates, car une fois que les cookies sont volés et que les pièces ne peuvent pas être retirées, les pirates peuvent jouer les uns contre les autres et causer des dommages aux actifs des utilisateurs. Par conséquent, les méthodes de contrôle des risques sont différentes selon les plateformes et les utilisateurs. En ce qui concerne l'équilibre entre sécurité et activité, différentes plates-formes ont des considérations différentes. Nous espérons que la plate-forme pourra protéger la sécurité des comptes et des actifs des utilisateurs tout en tenant compte de l'expérience utilisateur.