Een nu gerepareerd beveiligingslek in de Opera-webbrowser had ervoor kunnen zorgen dat een kwaadaardige extensie ongeautoriseerde, volledige toegang kon krijgen tot privé-API’s.
De aanval, met codenaam CrossBarkinghad het mogelijk kunnen maken om acties uit te voeren zoals het maken van schermafbeeldingen, het wijzigen van browserinstellingen en het kapen van accounts, aldus Guardio Labs.
Om het probleem aan te tonen, zei het bedrijf dat het erin was geslaagd een ogenschijnlijk onschuldige browserextensie in de Chrome Web Store te publiceren, die vervolgens misbruik kon maken van de fout wanneer deze op Opera werd geïnstalleerd, waardoor het een voorbeeld werd van een cross-browser-store-aanval.
“Deze casestudy benadrukt niet alleen de eeuwige botsing tussen productiviteit en veiligheid, maar biedt ook een fascinerende inkijk in de tactieken die worden gebruikt door moderne bedreigingsactoren die net onder de radar opereren”, zegt Nati Tal, hoofd van Guardio Labs, in een rapport gedeeld met The Hackernieuws.
Het probleem is door Opera op 24 september 2024 aangepakt, na verantwoorde openbaarmaking. Dat gezegd hebbende, is dit niet de eerste keer dat er beveiligingsfouten in de browser worden geïdentificeerd.
Eerder deze januari kwamen details naar voren over een kwetsbaarheid die wordt bijgehouden als MyFlaw en die misbruik maakt van een legitieme functie genaamd My Flow om elk bestand op het onderliggende besturingssysteem uit te voeren.
De nieuwste aanvalstechniek hangt af van het feit dat verschillende openbaar toegankelijke subdomeinen van Opera geprivilegieerde toegang hebben tot privé-API’s die in de browser zijn ingebed. Deze domeinen worden gebruikt ter ondersteuning van Opera-specifieke functies zoals Opera Wallet, Pinboard en andere, evenals functies die worden gebruikt bij interne ontwikkeling.
De namen van enkele domeinen, waartoe ook bepaalde domeinen van derden behoren, worden hieronder vermeld:
- crypto-corner.op-test.net
- op-test.net
- gxc.gg
- opera.atlassian.net
- pinboard.opera.com
- instagram.com
- yandex.com
Terwijl sandboxing ervoor zorgt dat de browsercontext geïsoleerd blijft van de rest van het besturingssysteem, bleek uit Guardio’s onderzoek dat inhoudsscripts die aanwezig zijn in een browserextensie kunnen worden gebruikt om kwaadaardig JavaScript in de overdreven tolerante domeinen te injecteren en toegang te krijgen tot de privé-API’s.
“Het inhoudsscript heeft toegang tot het DOM (Document Object Model)”, legt Tal uit. “Dit omvat de mogelijkheid om het dynamisch te veranderen, met name door nieuwe elementen toe te voegen.”
Gewapend met deze toegang kan een aanvaller schermafbeeldingen maken van alle geopende tabbladen, sessiecookies extraheren om accounts te kapen en zelfs de DNS-over-HTTPS (DoH)-instellingen van een browser wijzigen om domeinen op te lossen via een door de aanvaller bestuurde DNS-server.
Dit zou vervolgens het toneel kunnen vormen voor krachtige Adversary-in-the-Middle (AitM)-aanvallen wanneer slachtoffers proberen bank- of sociale-mediasites te bezoeken door deze in plaats daarvan door te sturen naar hun kwaadwillende tegenhangers.
De kwaadaardige extensie zou op zijn beurt als iets onschadelijks kunnen worden gepubliceerd in een van de add-on-catalogi, inclusief de Google Chrome Web Store, waar gebruikers deze kunnen downloaden en aan hun browsers kunnen toevoegen, waardoor de aanval effectief kan worden geactiveerd. Er is echter toestemming nodig om JavaScript op elke webpagina uit te voeren, met name op de domeinen die toegang hebben tot de privé-API’s.
Omdat frauduleuze browserextensies herhaaldelijk de officiële winkels infiltreren, om nog maar te zwijgen van enkele legitieme browserextensies die geen transparantie bieden in hun gegevensverzamelingspraktijken, onderstrepen de bevindingen de noodzaak van voorzichtigheid voordat ze worden geïnstalleerd.
“Browserextensies hebben een aanzienlijke macht, zowel ten goede als ten kwade”, zegt Tal. “Als zodanig moeten beleidshandhavers deze nauwlettend in de gaten houden.”
“Het huidige beoordelingsmodel schiet tekort; we raden aan het te versterken met extra mankracht en continue analysemethoden die de activiteit van een extensie monitoren, zelfs na goedkeuring. Bovendien is het afdwingen van echte identiteitsverificatie voor ontwikkelaarsaccounts van cruciaal belang, dus het simpelweg gebruiken van een gratis e-mail en een prepaid creditcard is onvoldoende voor registratie.”
