新たに考案された「ポリモーフィック」攻撃により、悪意のあるChrome拡張機能が、パスワード・マネージャー、暗号ウォレット、バンキング・アプリを含む他のブラウザ拡張機能に変身し、機密情報を盗むことが可能になった。
この攻撃はSquareX Labsによって考案されたもので、Chromeの最新バージョンでの実用性と実現可能性を警告している。研究者は責任を持ってGoogleにこの攻撃を公表した。
形を変えるChrome拡張機能
この攻撃は、悪意のあるポリモーフィック拡張機能をChromeのウェブストアに投稿することから始まります。
SquareXは、AIマーケティングツールを例にして、約束された機能を提供し、被害者を騙して拡張機能をインストールさせ、ブラウザに固定させます。
インストールされている他の拡張機能のリストを取得するため、悪意のある拡張機能はインストール時にアクセス権を与えられた「chrome.management」APIを悪用する。
悪意のある拡張機能がこのアクセス許可を持っていない場合、SquareXは、被害者が訪問するウェブページへのリソースインジェクションを伴う、同じことを達成するための第2の、よりステルス的な方法があると述べている。
悪意のあるスクリプトは、ターゲットとなる拡張機能に固有の特定のファイルまたはURLの読み込みを試み、それが読み込まれた場合、拡張機能がインストールされていると判断することができます。
インストールされている拡張機能のリストは、攻撃者が制御するサーバーに送り返され、標的となる拡張機能が見つかった場合、攻撃者は悪意のある拡張機能を標的の拡張機能に変身させるよう命令する。
SquareXのデモでは、攻撃者はまず「chrome.management」APIを使って正規の拡張機能を無効にすることで、1Passwordパスワード・マネージャー拡張機能になりすまし、パーミッションが利用できない場合はユーザー・インターフェースを操作してユーザーから隠す。
同時に、悪意のある拡張機能はアイコンを1Passwordを模倣したものに切り替え、それに応じて名前を変更し、本物と同じ外観の偽のログインポップアップを表示する。
ユーザーに認証情報を入力させるため、サイトにログインしようとすると、偽の「Session Expired」プロンプトが表示され、被害者はログアウトされたと勘違いします。
これによりユーザーは、入力された認証情報を攻撃者に送り返すフィッシングフォームを通じて、1Passwordにログインし直すよう促されます。
Source:SquareX
機密情報が攻撃者に送信されると、悪意のある拡張機能は元の外観に戻り、本物の拡張機能が再び有効になるため、すべてが正常に見えます。
悪意のある拡張機能が1Passwordになりすます、この攻撃のデモンストレーションを以下にご覧ください。
緩和策
SquareXは、Googleがこの攻撃に対して特定の防御策を導入することを推奨しています。たとえば、インストールされている拡張機能の突然の拡張機能アイコンやHTMLの変更をブロックしたり、少なくともこのような事態が発生したときにユーザーに通知したりすることです。
しかし、本稿執筆時点では、この種の欺瞞的ななりすましを防止する対策はない。
SquareXの研究者はまた、グーグルが「chrome.management」APIを誤って「中リスク」に分類しており、ページスタイラー、広告ブロッカー、パスワードマネージャーなどの一般的な拡張機能によって広範囲にアクセスされていることも指摘している。
このトピックに関するコメントを求めるためにGoogleに連絡したので、返答があり次第、この記事を更新する。
Comments