MET:MetaMask 瀏覽器擴展錢包 Clickjacking 漏洞分析

背景概述

2022 年 6 月 3 日，MetaMask（MM）公開了白帽子發現的一個嚴重的 Clickjacking 漏洞，這個漏洞可以造成的影響是：在用戶的 MM 插件錢包處于解鎖狀態，用戶訪問惡意的站點時，站點可以利用 iframe 標簽將解鎖的 MM 插件錢包頁面嵌入到網頁中并進行隱藏，然后引導用戶在網站上進行點擊操作，實際上是在 MM 解鎖的頁面中進行操作，從而盜取用戶的數字貨幣或藏品等相關資產。鑒于 MM 的用戶體量較大，且 Fork MetaMask 插件錢包的項目也比較多，因此在 MM 公開這個漏洞后，我們立即開始對這個漏洞進行復現，然后開始搜尋這個漏洞對于其他 Fork MetaMask 項目的影響。

隨后，慢霧安全團隊盡可能地通知受到影響的項目方，并引導項目方進行修復。現在將這個 Clickjacking 漏洞的分析公開出來避免后續的項目踩坑。

MetaStar Strikers項目Discord服務器已被入侵:金色財經消息，據CertiK監測，MetaStar Strikers項目Discord服務器已被入侵，有黑客發布釣魚鏈接。在團隊確認已重獲對服務器的控制之前，請勿點擊任何鏈接。[2023/5/23 15:20:45]

漏洞分析

由于 MM 在發布這個 Clickjacking 漏洞的時候并沒有詳細的說明，僅是解釋了這個漏洞的利用場景以及能夠產生的危害，所以我在進行復現的時候也遇到了挺多坑（各種盲猜漏洞點），所以為了讓大家能夠更好地順暢地理解整個漏洞，我在進行漏洞分析之前先補充下一個知識點。

我們來了解下 Manifest - Web Accessible Resources。在瀏覽器擴展錢包中有這么一個配置：web_accessible_resources，其用來約束 Web 頁面能夠訪問到瀏覽器擴展的哪些資源，并且在默認的情況下是 Web 頁面訪問不到瀏覽器擴展中的資源文件，僅瀏覽器擴展的本身才能訪問到瀏覽器擴展的資源。簡而言之就是 http/https 等協議下的頁面默認是沒法訪問到 chrome-extension，當然如果擴展錢包配置了 web_accessible_resources 將擴展錢包內部的資源暴露出來，那么就能被 http/https 等協議下的頁面訪問到了。

傳Meta或將收購The Sandbox:2月4日，據推特「大V」賬戶NFT Ethics透露，有未經證實的傳言稱Meta（原Facebook）即將收購The Sandbox。在公布了令人失望的財報后，Meta股價暴跌26%，創下美國上市公司市值單日最大跌幅。相比之下，Web 3元宇宙項目最近卻表現較好，比如以太坊元宇宙平臺Decentraland（MANA）在過去 7 天里上漲了 20% 以上，從 2.19 美元的 7 天低點飆升至 2.60 美元支撐位；The Sandbox（SAND）在 7 天內上漲了 17.5%飆升至3.6美元支撐位。就在NFT Ethics發布消息后不久，The Sandbox母公司Animoca Brands聯合創始人、執行主席兼董事總經理Yat Siu回應稱，Meta收購The Sandbox一事并非事實，但Animoca Brands公司官方尚未就此事發表相關置評。[2022/2/4 9:31:17]

而 MM 擴展錢包在 10.14.6 之前的版本（本文以 10.14.5 為例）一直保留著 "web_accessible_resources": ["inpage.js", "phishing.html"] 的配置，而這個配置是漏洞得以被利用的一個關鍵點。

Metis與Celer達成合作，推出METIS流動性挖礦計劃:12月28日消息，Layer2 基礎協議 Metis 與 Layer2 擴容協議 Celer Network 達成合作，共同推出 METIS Token 流動性挖礦計劃，以慶祝 Celer 與 Metis Andromeda 主網的整合。用戶可在 Celer 推出的跨鏈支付網絡 cBridge 進行具體的流動性挖礦操作。[2021/12/28 8:08:36]

然而在進行漏洞分析的時候，發現在 app/scripts/phishing-detect.js(v10.14.5) 中已經對釣魚頁面的跳轉做了協議的限制。（這里的限制在我的理解應該是還有其他的坑，畢竟 "web_accessible_resources": ["inpage.js", "phishing.html"]`這個配置還保留著）。

Blin Metaverse與BakerySwap達成戰略合作:據官方消息，Blin Metaverse與BakerySwap達成戰略合作，并將聯合于UTC時間2021年9月1日12：00（北京時間20：00）在BakerySwap官網展開敦煌禪畫派創始人楊東升老師敦煌作品NFT售賣。這兩幅NFT作品為《智慧吉祥天女》、《持蓮天女菩薩》，分別限量發行999枚，售價為1USDT。據悉，Blin Metaverse將于本次敦煌NFT活動結束后開放單幣質押活動，用戶可在官網通過質押BNB、USDT、CAKE、BAKE、AXS、CHR、ALICE、DOGE、DEGO、SKILL、PMON等資產獲得NFT盲盒空投。

Blin Metaverse是基于幣安智能鏈BSC的元宇宙+NFTFi 基礎設施。旨在通過 IP 重塑、虛擬社交、鏈上 NFT 資產鑄造、確權、價值流通等方式實現多元化虛擬現實交互的綜合性去中心化NFT基礎設施，此前曾宣布與維多利亞與艾爾伯特博物館聯合進軍NFTFi領域。[2021/9/1 22:51:49]

CryptoBriefingSimetri的月度精選報告投資回報率超250%:加密資產研究機構CryptoBriefing旗下的付費報告Simetri發布了一周年特別報告，總結分析Simetri過去一年內推薦的項目及代幣/交易信號的投資回報率（ROI）情況。基本數據如下：1）12份月度精選報告，其中有8個成功的選擇（如THORchain）和4個失敗的選擇（如Harmony和RSK），總ROI為+251.4％。2）27份B級及以上（長期投資）報告，其中有13份是盈利的，13份是虧損的，1份不賠不賺，總體盈利83.4%。3）35種潛力代幣的交易建議（CoinsontheMove），其中有19個盈利的，14個虧損的，2個不賠不賺的，總ROI為+185%。4）14份BTC交易建議（ProBTCTrader），其中4個盈利的，4個虧損的，6個不賠不賺的，總ROI為+31.9%。[2020/6/27]

我們繼續跟進這個協議限制的改動時間點，發現是在如下這個 commit 中添加了這個限制，也就是說在 v10.14.1 之前由于沒有對跳轉的協議進行限制，導致 Clickjacking 漏洞可以輕易被利用。

相關的 commit:

https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490

https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1

為了驗證代碼的分析過程，我們切換到 protocol 限制之前的版本 v10.14.0 進行測試，發現可以輕松復現整個攻擊過程。

但是在 MM 公開的報告中也提到，Clickjacking 漏洞是在 v10.14.6 進行了修復，所以 v10.14.5 是存在漏洞的，再繼續回頭看這里的猜想。（這里的限制在我的理解應該是還有其他的坑，畢竟 "web_accessible_resources": ["inpage.js", "phishing.html"] 這個配置還保留著）。

經過反復翻閱代碼，在 v10.14.5 以及之前版本的代碼，會在釣魚頁面提示的時候，如果用戶點擊了 continuing at your own risk. 之后就會將這個 hostname 加入到本地的白名單列表中。從而在下一次訪問到該網站的時候就不會再出現 MetaMask Phishing Detection 的提醒。

比如這個釣魚網站：ethstake.exchange，通過 iframe 標簽將釣魚網站嵌入到網頁中，然后利用 Clickjacking 漏洞就能將惡意的釣魚網站加入到白名單中，同時在用戶下一次訪問釣魚網站的時候 MM 不會再繼續彈出警告。

分析結論

如上述的分析過程，其實 MM 近期修復的是兩個 Clickjacking 漏洞，在復現過程中發現最新的 v10.14.6 已經將 web_accessible_resources 的相關配置移除了，徹底修復了 MetaMask Phishing Detection 頁面的點擊劫持的問題。

（1）利用 Clickjacking 漏洞誘導用戶進行轉賬的修復（影響版本：https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96

慢霧安全團隊對 chrome 擴展商店中的各個知名的擴展錢包進行了 Clickjacking 的漏洞檢測，發現如下的錢包受到 Clickjacking 漏洞影響：

Coinbase Wallet (v2.17.2)

Coin98 Wallet (v6.0.6)

Maiar DeFi Wallet (v1.2.17)

慢霧安全團隊第一時間聯系項目方團隊，但是到目前為止部分項目方還未反饋，并且 MM 公開這個漏洞至今已經過去了 11 天。為了避免用戶因為該漏洞遭受損失，慢霧安全團隊選擇公開漏洞的分析。如果受影響的相關項目方看到這篇文章需要協助請聯系慢霧安全團隊。

慢霧安全團隊再次提醒瀏覽器擴展錢包項目方如果有基于 MetaMask

慢霧安全團隊建議普通用戶在項目方還未修復漏洞之前可以先暫時停止使用這些擴展錢包（在瀏覽器擴展程序管理中關閉這些擴展錢包），等待錢包官方發布修復版本后，用戶可以及時更新到已修復的版本進行使用。

Tags：METMETAETAINGmetamask.ioMetaWhale BTCdeta幣挖礦King Money

XLM