ING:MetaMask 瀏覽器擴展錢包 Clickjacking 漏洞分析

背景概述

2022年6月3日，MetaMask公開了白帽子發現的一個嚴重的Clickjacking漏洞，這個漏洞可以造成的影響是：在用戶的MM插件錢包處于解鎖狀態，用戶訪問惡意的站點時，站點可以利用iframe標簽將解鎖的MM插件錢包頁面嵌入到網頁中并進行隱藏，然后引導用戶在網站上進行點擊操作，實際上是在MM解鎖的頁面中進行操作，從而盜取用戶的數字貨幣或藏品等相關資產。鑒于MM的用戶體量較大，且ForkMetaMask插件錢包的項目也比較多，因此在MM公開這個漏洞后，我們立即開始對這個漏洞進行復現，然后開始搜尋這個漏洞對于其他ForkMetaMask項目的影響。

隨后，慢霧安全團隊盡可能地通知受到影響的項目方，并引導項目方進行修復。現在將這個Clickjacking漏洞的分析公開出來避免后續的項目踩坑。

漏洞分析

法國參議院將允許社交媒體影響者推廣注冊加密公司的產品:金色財經報道，根據法國參議院經濟委員會周三同意的建議，社交媒體影響者將被允許推廣Binance等注冊加密貨幣公司的產品。與巴黎國民議會的同行相比，參議員們似乎更傾向于采取限制性較小的措施，后者在3月份投票決定有效禁止社交媒體明星的加密貨幣廣告。

該修正案已在委員會獲得通過，并將于下周在參議院全體會議上進行討論，該修正案將允許加密公司在監管機構注冊或獲得監管機構許可的情況下，通過有影響力的人支付宣傳費用。[2023/5/3 14:40:35]

由于MM在發布這個Clickjacking漏洞的時候并沒有詳細的說明，僅是解釋了這個漏洞的利用場景以及能夠產生的危害，所以我在進行復現的時候也遇到了挺多坑，所以為了讓大家能夠更好地順暢地理解整個漏洞，我在進行漏洞分析之前先補充下一個知識點。

Andre Cronje：Fantom將成為區塊鏈平臺的Youtube或Twitch:12月1日消息，Andre Cronje發布推文稱，Fantom將成為區塊鏈平臺的Youtube或Twitch。

此前報道，Fantom為了留住有才華的創作者，并獎勵高質量的dApp，發布了dApp gas貨幣化計劃提案，以降低Fantom當前的消耗率，讓更多網絡費用直接重定向到基于Fantom構建的dApp。[2022/12/1 21:16:13]

我們來了解下Manifest-WebAccessibleResources。在瀏覽器擴展錢包中有這么一個配置：web_accessible_resources，其用來約束Web頁面能夠訪問到瀏覽器擴展的哪些資源，并且在默認的情況下是Web頁面訪問不到瀏覽器擴展中的資源文件，僅瀏覽器擴展的本身才能訪問到瀏覽器擴展的資源。簡而言之就是http/https等協議下的頁面默認是沒法訪問到chrome-extension，當然如果擴展錢包配置了web_accessible_resources將擴展錢包內部的資源暴露出來，那么就能被http/https等協議下的頁面訪問到了。

美聯儲戴利：會放緩加息步伐，不是暫停加息:10月22日消息，美聯儲戴利表示，我們會放緩加息步伐，不是暫停加息，而是加息50或25個基點。想要靈活應對數據變化。可以再來一次75個基點的加息，但不會一直這樣。看看鮑威爾主席的新聞發布會，以及美聯儲12月的新預測，以指導利率走向。[2022/10/22 16:35:05]

而MM擴展錢包在10.14.6之前的版本一直保留著"web_accessible_resources":的配置，而這個配置是漏洞得以被利用的一個關鍵點。

然而在進行漏洞分析的時候，發現在app/scripts/phishing-detect.js(v10.14.5)中已經對釣魚頁面的跳轉做了協議的限制。。

數據：俄羅斯硬件加密錢包8月銷量下降一半:金色財經報道，根據Moneyplace分析服務匯編的統計數據，5月份Ozon和Wildberries市場上的硬件錢包銷售額達到了1650萬盧布（超過27.5萬美元）的歷史新高。而8月份，這一數字下降了一半，跌破800萬盧布（不到13.5萬美元）。代表在區塊鏈和技術創新領域提供服務的IT公司的ENCRY基金會的創始人Roman Nekrasov評論說，由于俄羅斯中央銀行放松了對跨境貨幣轉移的限制，導致了這種下降。（news.bitcoin）[2022/9/16 7:01:09]

我們繼續跟進這個協議限制的改動時間點，發現是在如下這個commit中添加了這個限制，也就是說在v10.14.1之前由于沒有對跳轉的協議進行限制，導致Clickjacking漏洞可以輕易被利用。

報告：全球第二季度賣空交易激增，空頭獲利超30%:7月27日消息，鑒于市場上彌漫的看跌情緒，第二季度做空交易者明顯大幅增加。這種策略允許交易員試圖從資產價格下降中獲益，這是在市場下跌的背景下發生的。

事實上，根據7月27日交易和投資平臺Capital.com的最新“Pulse”報告，2022年4月1日至2022年6月30日期間在該平臺上執行的所有交易數據，38%的交易員在2022年第二季度進行了空頭交易，比上一季度增加了34%。

此外，研究發現，在上述期間，空頭交易的利潤（32.1%）略高于多頭交易（28.7%）。根據Capital.com首席市場策略師David Jones的說法：“賣空能力很可能會對交易員的整體盈虧產生影響。如果我們進入一個市場長期疲軟的時期，投資者不再因為盲目逢低買入而獲得回報，這可能尤其正確。使用明智的風險控制措施，比如在賣空的同時止損，可能是交易員整體策略的一個謹慎補充。”

Jones還認為，第二季度做空交易者數量的增加表明，隨著市場變得更加悲觀，投資者情緒發生了變化。（Finbold）[2022/7/27 2:41:11]

相關的commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

為了驗證代碼的分析過程，我們切換到protocol限制之前的版本v10.14.0進行測試，發現可以輕松復現整個攻擊過程。

但是在MM公開的報告中也提到，Clickjacking漏洞是在v10.14.6進行了修復，所以v10.14.5是存在漏洞的，再繼續回頭看這里的猜想。。

經過反復翻閱代碼，在v10.14.5以及之前版本的代碼，會在釣魚頁面提示的時候，如果用戶點擊了continuingatyourownrisk.之后就會將這個hostname加入到本地的白名單列表中。從而在下一次訪問到該網站的時候就不會再出現MetaMaskPhishingDetection的提醒。

比如這個釣魚網站：ethstake.exchange，通過iframe標簽將釣魚網站嵌入到網頁中，然后利用Clickjacking漏洞就能將惡意的釣魚網站加入到白名單中，同時在用戶下一次訪問釣魚網站的時候MM不會再繼續彈出警告。

分析結論

如上述的分析過程，其實MM近期修復的是兩個Clickjacking漏洞，在復現過程中發現最新的v10.14.6已經將web_accessible_resources的相關配置移除了，徹底修復了MetaMaskPhishingDetection頁面的點擊劫持的問題。

利用Clickjacking漏洞誘導用戶進行轉賬的修復：

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

利用Clickjacking漏洞將釣魚網站加入到白名單的修復：

https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢霧安全團隊對chrome擴展商店中的各個知名的擴展錢包進行了Clickjacking的漏洞檢測，發現如下的錢包受到Clickjacking漏洞影響：

CoinbaseWallet(v2.17.2)

Coin98Wallet(v6.0.6)

MaiarDeFiWallet(v1.2.17)

慢霧安全團隊第一時間聯系項目方團隊，但是到目前為止部分項目方還未反饋，并且MM公開這個漏洞至今已經過去了11天。為了避免用戶因為該漏洞遭受損失，慢霧安全團隊選擇公開漏洞的分析。如果受影響的相關項目方看到這篇文章需要協助請聯系慢霧安全團隊。

慢霧安全團隊再次提醒瀏覽器擴展錢包項目方如果有基于MetaMask

慢霧安全團隊建議普通用戶在項目方還未修復漏洞之前可以先暫時停止使用這些擴展錢包，等待錢包官方發布修復版本后，用戶可以及時更新到已修復的版本進行使用。

來源：金色財經

Tags：INGTAMMETAMAring幣介紹metamask小狐貍錢包安卓版官網易速手機站MetaOneVerseAMANA價格

FTX