背景概述
2022 年 6 月 3 日,MetaMask(MM)公開了白帽子發現的一個嚴重的 Clickjacking 漏洞,這個漏洞可以造成的影響是:在用戶的 MM 插件錢包處于解鎖狀態,用戶訪問惡意的站點時,站點可以利用 iframe 標簽將解鎖的 MM 插件錢包頁面嵌入到網頁中并進行隱藏,然后引導用戶在網站上進行點擊操作,實際上是在 MM 解鎖的頁面中進行操作,從而盜取用戶的數字貨幣或藏品等相關資產。鑒于 MM 的用戶體量較大,且 Fork MetaMask 插件錢包的項目也比較多,因此在 MM 公開這個漏洞后,我們立即開始對這個漏洞進行復現,然后開始搜尋這個漏洞對于其他 Fork MetaMask 項目的影響。
隨后,慢霧安全團隊盡可能地通知受到影響的項目方,并引導項目方進行修復。現在將這個 Clickjacking 漏洞的分析公開出來避免后續的項目踩坑。
前Meta內容合作主管加入Dapper Labs擔任首席商務官:金色財經報道,在Meta和 Facebook 工作了近 12 年后,Nick Grudin離開這家社交媒體巨頭。Grudin 下個月將加入 NFT 數字收藏品公司Dapper Labs,擔任首席商務官。
Grudin 將負責 Dapper Labs 產品組合的合作伙伴關系以及開發者體驗和營銷,包括 Dapper 錢包、Flow 區塊鏈和 Dapper Sports Studio、NBA Top Shot、NFL All Day 和 UFC Strike 的開發者。(finance.yahoo)[2022/8/11 12:17:04]
漏洞分析
由于 MM 在發布這個 Clickjacking 漏洞的時候并沒有詳細的說明,僅是解釋了這個漏洞的利用場景以及能夠產生的危害,所以我在進行復現的時候也遇到了挺多坑(各種盲猜漏洞點),所以為了讓大家能夠更好地順暢地理解整個漏洞,我在進行漏洞分析之前先補充下一個知識點。
Coinbase新增AirSwap(AST)、MetisDAO(METIS)至路線圖資產列表:金色財經報道,Coinbase新增AirSwap(AST)、MetisDAO(METIS)至路線圖資產列表。此前4月份,Coinbase計劃提高第二季度上線新資產的透明度,并公布正在考慮于第二季度上線Coinbase的資產列表。[2022/6/16 4:30:43]
我們來了解下 Manifest - Web Accessible Resources。在瀏覽器擴展錢包中有這么一個配置:web_accessible_resources,其用來約束 Web 頁面能夠訪問到瀏覽器擴展的哪些資源,并且在默認的情況下是 Web 頁面訪問不到瀏覽器擴展中的資源文件,僅瀏覽器擴展的本身才能訪問到瀏覽器擴展的資源。簡而言之就是 http/https 等協議下的頁面默認是沒法訪問到 chrome-extension,當然如果擴展錢包配置了 web_accessible_resources 將擴展錢包內部的資源暴露出來,那么就能被 http/https 等協議下的頁面訪問到了。
LevelField Financial 選擇 Metaco 在 IBM Cloud 上推出數字資產管理功能:金色財經報道,美國金融服務公司LevelField Financial 選擇將數字資產和傳統銀行服務整合到METACO平臺。METACO是一家提供數字資產托管編排技術的市場供應商。LevelField 正在 IBM Cloud 上部署其機構數字資產管理操作,以利用 IBM 數字資產基礎架構的機密計算功能。
LevelField 將部署 IBM Cloud Hyper Protect Services* 支持的 Harmonize。這種設置將允許 LevelField 擴展到數百萬個錢包,同時保持對私鑰的控制以進行風險管理。IBM 的數字資產基礎架構旨在幫助保管人在使用 METACO 的 Harmonize 平臺時取得更大的成果,包括增強的可擴展性、安全性和合規性。(finextra)[2022/5/27 3:45:11]
而 MM 擴展錢包在 10.14.6 之前的版本(本文以 10.14.5 為例)一直保留著 "web_accessible_resources": ["inpage.js", "phishing.html"] 的配置,而這個配置是漏洞得以被利用的一個關鍵點。
MetaMask對代幣發行和空投持開放態度,但沒有立即發幣的計劃:8月27日消息,MetaMask團隊在首次社區電話會議中討論代幣發布的潛在計劃,MetaMask高級軟件工程師Erik Marks表示,MetaMask對代幣發行和空投持開放態度,不過團隊不想創建沒有用例的代幣,因此沒有立即發行的計劃。另外,MetaMask還在開發新功能,允許資產在不同鏈和Layer2解決方案之間進行跨鏈。(Crypto Briefing)[2021/8/27 22:40:43]
然而在進行漏洞分析的時候,發現在 app/scripts/phishing-detect.js(v10.14.5) 中已經對釣魚頁面的跳轉做了協議的限制。(這里的限制在我的理解應該是還有其他的坑,畢竟 "web_accessible_resources": ["inpage.js", "phishing.html"]`這個配置還保留著)。
以太坊輕錢包MetaMask月活躍用戶突破100萬:9月6日消息,以太坊輕錢包MetaMask月活躍用戶超過100萬,與2019年12月相比,增幅為400%以上。其中,移動端用戶數量排名前四的國家分別是美國、印度、尼日利亞和菲律賓。MetaMask稱,最近推出的MetaMask移動端應用為新用戶的引入發揮了重要作用。此外,在過去的十二個月中,DAO、Web3游戲的采用顯著增長,以及消費者對DeFi產品和服務的迅速采用,進一步加速了用戶增長。(Medium)[2020/10/6]
我們繼續跟進這個協議限制的改動時間點,發現是在如下這個 commit 中添加了這個限制,也就是說在 v10.14.1 之前由于沒有對跳轉的協議進行限制,導致 Clickjacking 漏洞可以輕易被利用。
相關的 commit:
https://github.com/MetaMask/metamask-extension/commit/c1ca70d7325577835a23c1fae2b0b9b10df54490
https://github.com/MetaMask/metamask-extension/compare/v10.14.0...v10.14.1
為了驗證代碼的分析過程,我們切換到 protocol 限制之前的版本 v10.14.0 進行測試,發現可以輕松復現整個攻擊過程。
但是在 MM 公開的報告中也提到,Clickjacking 漏洞是在 v10.14.6 進行了修復,所以 v10.14.5 是存在漏洞的,再繼續回頭看這里的猜想。(這里的限制在我的理解應該是還有其他的坑,畢竟 "web_accessible_resources": ["inpage.js", "phishing.html"] 這個配置還保留著)。
經過反復翻閱代碼,在 v10.14.5 以及之前版本的代碼,會在釣魚頁面提示的時候,如果用戶點擊了 continuing at your own risk. 之后就會將這個 hostname 加入到本地的白名單列表中。從而在下一次訪問到該網站的時候就不會再出現 MetaMask Phishing Detection 的提醒。
比如這個釣魚網站:ethstake.exchange,通過 iframe 標簽將釣魚網站嵌入到網頁中,然后利用 Clickjacking 漏洞就能將惡意的釣魚網站加入到白名單中,同時在用戶下一次訪問釣魚網站的時候 MM 不會再繼續彈出警告。
分析結論
如上述的分析過程,其實 MM 近期修復的是兩個 Clickjacking 漏洞,在復現過程中發現最新的 v10.14.6 已經將 web_accessible_resources 的相關配置移除了,徹底修復了 MetaMask Phishing Detection 頁面的點擊劫持的問題。
(1)利用 Clickjacking 漏洞誘導用戶進行轉賬的修復(影響版本:https://github.com/MetaMask/metamask-extension/commit/7199d9c56775111f85225fe15297e47de8e2bc96
慢霧安全團隊對 chrome 擴展商店中的各個知名的擴展錢包進行了 Clickjacking 的漏洞檢測,發現如下的錢包受到 Clickjacking 漏洞影響:
Coinbase Wallet (v2.17.2)
Coin98 Wallet (v6.0.6)
Maiar DeFi Wallet (v1.2.17)
慢霧安全團隊第一時間聯系項目方團隊,但是到目前為止部分項目方還未反饋,并且 MM 公開這個漏洞至今已經過去了 11 天。為了避免用戶因為該漏洞遭受損失,慢霧安全團隊選擇公開漏洞的分析。如果受影響的相關項目方看到這篇文章需要協助請聯系慢霧安全團隊。
慢霧安全團隊再次提醒瀏覽器擴展錢包項目方如果有基于 MetaMask
慢霧安全團隊建議普通用戶在項目方還未修復漏洞之前可以先暫時停止使用這些擴展錢包(在瀏覽器擴展程序管理中關閉這些擴展錢包),等待錢包官方發布修復版本后,用戶可以及時更新到已修復的版本進行使用。
Tags:METMETAETAmetamaskMetFX Watch To EarnMetatokenDogemetaverseMetaMask最新版官方下載
當我們稱其為建設市場時,我們不僅僅指 Crypto 和 Web3 協議。現在也是建設自己的時候了。雖然 Crypto 市場現在顯然非常慘淡,但 Web3 不會就此消失.
1900/1/1 0:00:00上周恐慌情勢繼續在市場上漫延,其中一個原因是傳出行業內最活躍、最具話語權之一的 VC 三箭資本(3AC)面臨清算.
1900/1/1 0:00:00Twitter的創始人Jack Dorsey公開稱:“Web3的VC們可以洗洗睡了”。“有的投資人炒幣都財富自由了。”李瓊告訴融資中國。在幣圈,有大批投資人信徒.
1900/1/1 0:00:00對于 “元宇宙” 的實際含義,目前很難正式達成一致的理解。該術語可以最好地描述為互聯網的發展愿景,其中多感官增強功能,例如虛擬現實 (VR) 耳機,使用戶能夠像數字化身一樣做工作、與朋友見面、購.
1900/1/1 0:00:00原文標題:Does the future of DeFi still belong to the Ethereum blockchain?作者:Cointelegraph Research以太坊.
1900/1/1 0:00:00今年以來,全球風險資產經歷大幅波動。風險情緒受挫導致美股、加密資產下跌;避險情緒導致美元上行8.6%;俄烏沖突和供應鏈問題令大宗商品漲超40%;美國5月通脹8.6%,創下40年來的新高,加息預期.
1900/1/1 0:00:00