ING:MetaMask 瀏覽器擴展錢包 Clickjacking 漏洞分析_ETA

背景概述

2022年6月3日，MetaMask公開了白帽子發現的一個嚴重的Clickjacking漏洞，這個漏洞可以造成的影響是：在用戶的MM插件錢包處于解鎖狀態，用戶訪問惡意的站點時，站點可以利用iframe標簽將解鎖的MM插件錢包頁面嵌入到網頁中并進行隱藏，然后引導用戶在網站上進行點擊操作，實際上是在MM解鎖的頁面中進行操作，從而盜取用戶的數字貨幣或藏品等相關資產。鑒于MM的用戶體量較大，且ForkMetaMask插件錢包的項目也比較多，因此在MM公開這個漏洞后，我們立即開始對這個漏洞進行復現，然后開始搜尋這個漏洞對于其他ForkMetaMask項目的影響。

隨后，慢霧安全團隊盡可能地通知受到影響的項目方，并引導項目方進行修復。現在將這個Clickjacking漏洞的分析公開出來避免后續的項目踩坑。

漏洞分析

以太坊核心開發者共識會議：即將上線 EIP-4844 專用短期測試網絡 Devnet #7:7月1日消息，Galaxy 研究副總裁 Christine Kim 發文總結第 112 次以太坊核心開發者共識會議，本周開發人員討論了在 Engine API 中包含 builder override flag，將目標 blob 限制 從 2 上調到 3，將最大 blob 限制從 4 上調到 6，以及圍繞更改驗證器最大有效余額的持續研究。Blob 容量的增加是由以太坊基金會研究 Dankrad Feist 在進行數據實驗測試處理大塊的網絡容量后提出的。

以太坊基金會 DevOps 團隊的 Parithosh Jayanthi 表示，所有 EL 和 CL 客戶端團隊都通過了 Devnet #7 的相關 Hive 測試。他的團隊計劃最早在 6 月 30 日或 7 月 3 日推出 Devnet #7。Devnet #7 是 EIP-4844 的專用短期測試網絡，不會測試其他代碼更改。

另外，開發人員正準備在今年年底前棄用公共 Goerli 測試網絡。為了取代 Goerli，以太坊客戶團隊正在啟動一個名為 Holesky 的新測試網，測試網將托管一個大于 Goerli 和以太坊主網的活動驗證器集。[2023/7/1 22:12:05]

由于MM在發布這個Clickjacking漏洞的時候并沒有詳細的說明，僅是解釋了這個漏洞的利用場景以及能夠產生的危害，所以我在進行復現的時候也遇到了挺多坑，所以為了讓大家能夠更好地順暢地理解整個漏洞，我在進行漏洞分析之前先補充下一個知識點。

美國2月非農就業人數增加31.1萬 高于預期:金色財經報道，美國2月非農就業人數增加31.1萬，預估為增加22.5萬，前值為增加51.7萬。美國2月失業率為3.6%，預估為3.4%，前值為3.4%。非農數據公布后，美股股指期貨直線拉升，納指期貨漲0.5%，標普500指數期貨轉漲0.3%，道指期貨轉漲。[2023/3/10 12:54:56]

我們來了解下Manifest-WebAccessibleResources。在瀏覽器擴展錢包中有這么一個配置：web_accessible_resources，其用來約束Web頁面能夠訪問到瀏覽器擴展的哪些資源，并且在默認的情況下是Web頁面訪問不到瀏覽器擴展中的資源文件，僅瀏覽器擴展的本身才能訪問到瀏覽器擴展的資源。簡而言之就是http/https等協議下的頁面默認是沒法訪問到chrome-extension，當然如果擴展錢包配置了web_accessible_resources將擴展錢包內部的資源暴露出來，那么就能被http/https等協議下的頁面訪問到了。

“木頭姐”首次關閉旗下一只ETF，成立以來僅獲1200萬美元資產:7月20日消息，“木頭姐”Cathie Wood的ARK Investment Management將首次關閉旗下一只ETF。

周二公布的一份監管文件顯示，ARK旗下的ARK Transparency ETF（CTRU）正在進行清算。據悉，該ETF于去年年底推出，持倉包括Teladoc Health（TDOC.US（和Spotify（SPOT.US）等，目標是投資于透明度得分高的公司。

ARK在一份聲明中表示，該基金參考指數的提供方Transparency Global將于7月底停止計算該指數，“雖然ARK調查了其他指數提供者，但沒有找到合適的解決方案，因此決定關閉該基金”。

值得一提的是，該ETF是ARK旗下罕見的被動投資工具，自成立以來僅獲得1200萬美元的資產，跟Wood旗下的旗艦基金90億美元的規模相形見絀。該ETF自去年12月底首次亮相以來，價格已下跌超30%。監管文件顯示，該ETF在本周四后將不再接受創建訂單，且在7月26日后將不再接受贖回訂單。

對于成長股投資者來說，今年是艱難的一年。由于通脹居高不下、利率上升以及對經濟衰退的擔憂加劇，重倉“顛覆式創新”的ARK旗下旗艦基金ARK Innovation ETF（ARKK）今年迄今為止累計暴跌超50%。

不過，數據公司TrackInsight的統計顯示，上半年共有15億美元資金流入ARKK，這表明許多投資者依舊認為Wood值得“追隨”，他們仍在關注主題ETF的長期投資機會。

與此同時，ARKK今年以來的表現不佳也為其引來了越來越多的空頭大軍。S3 Partners的數據顯示，做空ARKK的資金已達到12.3億美元，其中僅6月就增加了5500萬美元。（智通財經）[2022/7/20 2:24:55]

而MM擴展錢包在10.14.6之前的版本一直保留著"web_accessible_resources":的配置，而這個配置是漏洞得以被利用的一個關鍵點。

上海視覺藝術學院發行NFT數字藏品畢業盾:金色財經報道，據上海視覺藝術學院新媒體藝術學院公眾號，該院發行基于學院專業基礎的“元宇宙畢業典禮”和NFT數字藏品畢業盾，這一數字藏品有三種形態，也將成為畢業生未來回校的“通關密碼”，參加畢業典禮的畢業生都會獲得獨有的虛擬形象。[2022/7/6 1:55:40]

然而在進行漏洞分析的時候，發現在app/scripts/phishing-detect.js(v10.14.5)中已經對釣魚頁面的跳轉做了協議的限制。。

阿姆斯特丹計劃在未來四年內推出數字貨幣:6月18日消息，阿姆斯特丹計劃在未來四年內推出自己的數字貨幣。這種貨幣只能在阿姆斯特丹的當地企業家那里使用，他們的想法是促進社區經濟發展。GroenLinks市議員Elisabeth IJmker向電視臺AT5表示，“這確保了資金真正繼續在城市中流通。”

阿姆斯特丹仍在制定確切的解釋文案，例如，消費者將如何獲得代幣，它將與什么相關聯，以及誰將能夠參與。（NL Times）[2022/6/18 4:37:11]

我們繼續跟進這個協議限制的改動時間點，發現是在如下這個commit中添加了這個限制，也就是說在v10.14.1之前由于沒有對跳轉的協議進行限制，導致Clickjacking漏洞可以輕易被利用。

相關的commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

為了驗證代碼的分析過程，我們切換到protocol限制之前的版本v10.14.0進行測試，發現可以輕松復現整個攻擊過程。

但是在MM公開的報告中也提到，Clickjacking漏洞是在v10.14.6進行了修復，所以v10.14.5是存在漏洞的，再繼續回頭看這里的猜想。。

經過反復翻閱代碼，在v10.14.5以及之前版本的代碼，會在釣魚頁面提示的時候，如果用戶點擊了continuingatyourownrisk.之后就會將這個hostname加入到本地的白名單列表中。從而在下一次訪問到該網站的時候就不會再出現MetaMaskPhishingDetection的提醒。

比如這個釣魚網站：ethstake.exchange，通過iframe標簽將釣魚網站嵌入到網頁中，然后利用Clickjacking漏洞就能將惡意的釣魚網站加入到白名單中，同時在用戶下一次訪問釣魚網站的時候MM不會再繼續彈出警告。

分析結論

如上述的分析過程，其實MM近期修復的是兩個Clickjacking漏洞，在復現過程中發現最新的v10.14.6已經將web_accessible_resources的相關配置移除了，徹底修復了MetaMaskPhishingDetection頁面的點擊劫持的問題。

利用Clickjacking漏洞誘導用戶進行轉賬的修復：

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

利用Clickjacking漏洞將釣魚網站加入到白名單的修復：

https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢霧安全團隊對chrome擴展商店中的各個知名的擴展錢包進行了Clickjacking的漏洞檢測，發現如下的錢包受到Clickjacking漏洞影響：

CoinbaseWallet(v2.17.2)

Coin98Wallet(v6.0.6)

MaiarDeFiWallet(v1.2.17)

慢霧安全團隊第一時間聯系項目方團隊，但是到目前為止部分項目方還未反饋，并且MM公開這個漏洞至今已經過去了11天。為了避免用戶因為該漏洞遭受損失，慢霧安全團隊選擇公開漏洞的分析。如果受影響的相關項目方看到這篇文章需要協助請聯系慢霧安全團隊。

慢霧安全團隊再次提醒瀏覽器擴展錢包項目方如果有基于MetaMask

慢霧安全團隊建議普通用戶在項目方還未修復漏洞之前可以先暫時停止使用這些擴展錢包，等待錢包官方發布修復版本后，用戶可以及時更新到已修復的版本進行使用。

來源：金色財經

Tags：INGASKAMAETAUfo Gamingmetamask病ShibaMaxMETAP價格

fil幣價格今日行情