来自SANS网络风暴中心的一名渗透分析师Bojan Zdrnja,近日披露了一个恶意的Chrome扩展程序,可滥用Chrome Sync功能来窃取Chrome用户的机密信息。
Zdrnja指出,该恶意扩展程序名为Forcepoint Endpoint Chrome Extension for Windows,但它既与安全企业Forcepoint无关,该程序也并未具备任何端点保护功能,只是盗用了Forcepoint的品牌,此外,该程序并未登上Chrome Web Store,且必须在Chrome用户切换至开发者模式(Developer mode)之后才能安装。
在受害用户安装了该程序之后,它会在背景执行脚本程序,以接收或发送消息,而且利用的是Google的Chrome Sync架构。分析显示,该脚本程序所调用的API容许扩展程序之间进行通信或传消息,还能判断所接收的消息是否涉及认证令牌,并进一步确认Chrome是否存放了该令牌。
Zdrnja说明,黑客使用的是chrome.storage.sync.get与chrome.storage.sync.save两项Chrome Sync功能,且会把所有的参数值从Chrome自动同步至Google云计算,为了取得这些参数值,黑客只要在另一台执行Chrome的设备,以同样的账号登录Google即可,之后这两台设备上的Chrome就能利用Google架构进行通信,尽管Google限制了通信规模,只能传递少量的资料,但对于盗取认证令牌而言已经足够。
Zdrnja还使用了另一个合法Chrome扩展程序Google Docs Offline,来验证黑客的手法,他先在第一台设备上把Chrome切换成开发者模式,利用DevTools控制台发布命令,发送“Hello from Internet Storm Center”消息,接着再登录第二台设备,同样进入DevTools控制台,就收到了“Hello from Internet Storm Center”消息。
研究人员表示,这代表黑客可把Chrome Sync架构当作C&C的通信渠道,或者是窃取小型的机密信息,此外,所有Chrome发出的请求都被导向clients4.google.com,包括恶意请求在内,由于该网址也是Google用来确认Chrome是否联网的机制,因此无法简单地通过封锁该网址来应对。
Zdrnja说,该分析只是为了协助大家理解恶意的浏览器扩展程序能够有多可怕,特别是当许多重要应用都可直接在浏览器上执行之际,不管是内部的CRM、文件管理系统或各种重要系统的访问等,他建议企业可通过群组原则,来管控用户所安装的所有扩展程序。