本文由两部分组成,主要揭示了macOS浏览器插件扩展背后的技术以及恶意附加组件如何窃取密码,银行账户详细信息和用户的其它敏感数据的。
浏览器插件扩展是用户可以对安全系统进行操作的最简单第三方修改方式之一,但也有可能是导致系统发生严重危险的方式之一。 许多用户将插件扩展视为一个极小的“applets”(小应用),主要可以在浏览网页时提供一些简单而实用的额外功能—(比如)阻止广告内容,允许进行标记,帮助填写表单字段等 ,却没有意识到这些插件扩展被赋予了鲜为人知的巨大能力。
在两篇文章的第一篇中,我们将(首先)对Safari浏览器插件扩展的安全问题进行认识,主要包括在macOS 10.13系统下检查和分析特定的广告插件扩展软件在浏览器使用的过程中广告是如何运作的案例。在第二篇文章中,我们将介绍macOS 10.14 Mojave系统中Safari插件扩展的安全性是如何被更改的,以处理其中一些关切问题。
安全漏洞
虽然这里的重点是通过对浏览器插件扩展所扮演的运用情况进行揭露来提高用户的意识,但我们首先要指出的是即使使用信誉良好和善意的开发人员的扩展也会涉及安全问题。
这里有一个很好的例子,就是今年年初DuckDuckGo采取了相关的举措,为用户提供了一个阻止广告和跟踪用户内容的浏览器插件扩展。尽管这个插件扩展是一个值得信任的开发者构建的伟大设想,但这个扩展插件却存在一个致命的问题:安装它的用户会被要求授予远远超出其所需要的扩展权限,而这本身其实就是一个安全问题。
扩展程序声称会在用户执行“搜索和浏览网页”时保护用户的数据,但似乎却忽略了将密码等敏感数据暴露给扩展程序本身所带来的影响。
遗憾的是,授予类似特殊权限给本就不需要的扩展插件的情况其实并不少见。 正如Apple的开发者文档所述,扩展插件可以执行诸如向网站添加产品评级和评论之类的操作,因而也可以将广告注入网页,对下载内容注入脚本以及修改Web内容等操作。 他们可以在没有用户明确许可的情况下发送通知,并且可以在后台悄悄地运行。
这些扩展的功能列表听起来就好像是恶意软件开发人员梦寐以求的漏洞利用工具,尤其是Safari扩展中存在的多个安全漏洞,可能被恶意开发人员有意利用,也可能在无意间将潜在的漏洞公开。
扩展插件没有必要在它们的程序包中直接包含它所使用的脚本; 实际上它们可以通过http网络远程(自动下载)获取。 如果开发人员没有使用安全的https协议,则可能会发生man-in-the-middle(中间人)攻击,从而被插入恶意脚本来代替原来真实的脚本程序。
同时,这也意味着品质败坏的冒充者只需更改通过http(或https)请求的脚本内容,就可以用这种在安装扩展后改变其扩展行为的方式来开发恶意扩展插件。
扩展插件也应该尊重(用户的)隐私浏览内容,但这似乎取决于开发人员是否去遵守实现。 Apple的(开发者)文档也只是建议:
Your extension should not store any information about the user’s actions when in Private Browsing mode.
You can check whether a particular tab is in Private Browsing mode by querying the tab object’s private property (for example, safari.application.activeBrowserWindow.activeTab.private).
( 在隐私浏览模式下,您的扩展插件不应存储有关用户操作行为的任何信息。
您可以通过查询选项卡对象的私有属性(例如,safari.application.activeBrowserWindow.activeTab.private)来检查特定选项卡是否处于“隐私浏览”模式。)
这个目录如此描述的内容足以吸引任何电脑黑客,以致使得这一类“糟糕的”插件扩展成为了广告软件开发商如Genieo和Spigot的主要(入侵)工具之一。 正如我们将在下一节中看到的那样,扩展程序甚至可以阻止用户在没有首先删除关联的主应用程序的情况下卸载它,这为诱骗用户进一步破坏他们自己的系统提供了一个成熟的良好机会。
Pitchofcase的神奇案例
我们最近观察到一个名为“Pitchofcase”的Safari广告扩展软件,它展示了一些有趣的行为。
初看一眼,Pitchofcase看起来跟其它任何广告插件扩展一样:当被启用之后,它会在登陆pitchofcase.com之前通过几个付费点击地址重定向用户的搜索。
扩展插件在后台悄无声息的运行,没有显示任一工具栏按钮或任何其它与之交互的行为。
在上图中,请注意扩展程序获得的权限。值得指出的是,这些是在没有提升权限的情况下获得的,只需要用户与对待其它任意扩展程序显示的警告处理方式一样,单击“信任”,而不管其权限内容如何描述:
该警报弹窗包含了一个概述的后果信息内容,但是可惜macOS允许此级别的权限在没有通过密码验证的情况下对Safari进行执行。
当我们尝试卸载它时,Pitchofcase开始变得有趣。单击“卸载”按钮不会按预期删除扩展插件,而是抛出以下警报:
这是不寻常的,但并非闻所未闻。一些具有良好口碑的应用程序也以相同的方式强制其用户使用它们特定的扩展插件(例如,Parallels Desktop应用要求在Safari中安装“Open in Internet Explorer”扩展插件才能使用)。用户可以毫无问题地禁用扩展程序,但移除它却需要删除父应用程序。
点击“在Finder中显示”会显示应用程序的路径,并且友好的提供了一个卸载工具
至此,具有安全防范意识的用户可能会对Pitchofcase.app这个Safari扩展和Uninstaller卸载程序在VirusTotal上是如何评价的有所兴趣。该应用程序检测结果为'clean'(安全),但卸载程序的检测结果却显示为警告:
因为我们的重点主题是讨论Safari扩展插件,所以这里我们不会过多地深入探讨Uninstaller卸载程序的功能,而是想说通过代码检查明显展示了它对安装持续代理更感兴趣:
以及窃取用户的浏览器历史记录:
而没有在做它作为卸载程序该做的工作。
但是,可以看出将卸载程序作为感染源是一个聪明的把戏,与没有移除应用主程序就无法移除扩展插件的目的相吻合。正如我们所看到的,扩展插件本身相对无害,而让用户运行卸载程序似乎才是其真正的策略。
Safari扩展的内在
Safari扩展它本身在VT上被提出了一些警告,但这些并不重要,因为它安装的扩展插件本身就是是“干净”的应用程序。让我们来看看扩展插件的内在构成以及检查它的行为情况。
Safari扩展插件源程序仅仅是压缩文件,因此为了查看其内部组成,我们需要做的第一件事就是使用file命令找出其所使用的文件压缩类型:
在这种情况下,它是xar格式。所以我们现在知道了文件类型就可以重命名该文件并解压缩它:
global.html文件是我们的第一站。在Safari扩展体系结构中此配置文件是可选文件。但在包含它时,可以通过注入脚本来加载一次性资源,例如所使用的逻辑或数据。
在这种情况下,我们可以清楚地看到它的意图:
在我们的下一站中,Info.plist明确展示了扩展程序也希望查看安全页面的内容:
尽管这可能令人有些担忧,但关于扩展插件内容,最值得注意的事情是明明缺少常规配套的内容却常常被打包到这些浏览器附加组件中去。既没有专门的JS跟踪脚本或辅助函数,又没有尝试通过eval的方法执行的恶意代码。与大多数扩展插件(合法和非合法扩展)相比,Pitchofcase显得非常不一般。
这又把我们带回到了为了卸载扩展插件却需要移除主程序,以及卸载程序Uninstaller弹出的警报响铃的问题上。 Pitchofcase明显是一个经过深思熟虑才得到的诡计:即安装一个有些恼人但又在很大程度无用的扩展插件,然后再去欺骗用户为了移除它,去运行真正恶意的卸载程序。
安全地移除Pitchofcase
这里有个好消息,是对于那些严格遵循对话框警报提示信息,在Safari中点击过“卸载”按钮的用户。删除扩展插件的唯一方法确实就是移除关联的应用主程序,但移除并不意味着完全卸载。
用户应该忽略提供的Uninstaller.app,只需将Pitchofcase.app和所有其它组件(包括卸载程序)直接拖到废纸篓。这样做了之后,其实同样可以删除扩展插件。
开发人员异常聪明地致力于抓住那些经常遵循重复建议(习惯性思维)的用户,以便在删除应用程序时始终去使用开发人员设计好了的卸载程序。处理来自于值得信任的开发者所设计的复杂安装时,这通常是一种很好的实用做法。 但在Pitchofcase的这种情况下,这是一个旨在窃取你数据的巧妙躲避。
接下来......
在第2部分中,我们将继续探讨10.14 Mojave中macOS扩展插件(规则)的改变以及用户在将其添加到最新版本的Safari浏览器时需要注意的安全性问题。
本文翻译自:https://www.sentinelone.com/blog/inside-safari-extensions-malware-golden-key-user-data/
如有不妥之处,请多多指教!
最近正好在了解这篇文章中提到的malware,所以就冒昧的献丑翻译了下!
如果觉得还可以,那就赞一个或者扫我的头像关注我吧!
---------------------
作者:我在地球村--做个有意思的人
来源:CSDN
版权声明:本文为博主原创文章,转载请附上博文链接!