Cybersecurity-onderzoekers hebben een beveiligingsfout in de Opera-webbrowser voor Microsoft Windows en Apple macOS onthuld die kan worden misbruikt om elk bestand op het onderliggende besturingssysteem uit te voeren.
Het beveiligingslek voor het uitvoeren van externe code heeft door het onderzoeksteam van Guardio Labs de codenaam MyFlaw gekregen vanwege het feit dat het gebruik maakt van een functie genaamd My Flow die het mogelijk maakt om berichten en bestanden te synchroniseren tussen mobiele en desktopapparaten.
“Dit wordt bereikt door een gecontroleerde browserextensie, die effectief de sandbox van de browser en het hele browserproces omzeilt”, aldus het bedrijf in een verklaring gedeeld met The Hacker News.
Het probleem heeft gevolgen voor zowel de Opera-browser als Opera GX. Na de verantwoorde openbaarmaking op 17 november 2023 is het probleem opgelost als onderdeel van de updates die op 22 november 2023 zijn verzonden.
My Flow beschikt over een chatachtige interface om notities en bestanden uit te wisselen, waarvan de laatste via een webinterface kan worden geopend, wat betekent dat een bestand buiten de beveiligingsgrenzen van de browser kan worden uitgevoerd.
Het is vooraf geïnstalleerd in de browser en wordt mogelijk gemaakt door middel van een ingebouwde (of interne) browserextensie genaamd “Opera Touch Background”, die verantwoordelijk is voor de communicatie met zijn mobiele tegenhanger.
Dit betekent ook dat de extensie wordt geleverd met een eigen manifestbestand waarin alle vereiste machtigingen en het gedrag ervan worden gespecificeerd, inclusief een eigenschap die bekend staat als externally_connectable en die aangeeft welke andere webpagina’s en extensies er verbinding mee kunnen maken.
In het geval van Opera moeten de domeinen die met de extensie kunnen communiceren overeenkomen met de patronen “*.flow.opera.com” en “.flow.op-test.net” – beide beheerd door de browserleverancier zelf.
“Hierdoor wordt de berichten-API zichtbaar voor elke pagina die overeenkomt met de URL-patronen die u opgeeft”, merkt Google op in de documentatie. “Het URL-patroon moet minimaal een domein op het tweede niveau bevatten.”
Guardio Labs zei dat het in staat was om een ”lang vergeten” versie van de My Flow-landingspagina op te sporen die wordt gehost op het domein “web.flow.opera.com” met behulp van de urlscan.io-websitescannertool.
“De pagina zelf ziet er vrijwel hetzelfde uit als de huidige in productie, maar veranderingen liggen onder de motorkap: niet alleen dat het de [content security policy] metatag, maar bevat ook een scripttag die om een JavaScript-bestand vraagt zonder enige integriteitscontrole’, aldus het bedrijf.
“Dit is precies wat een aanvaller nodig heeft: een onveilig, vergeten, kwetsbaar voor code-injectie-item en, belangrijker nog, toegang tot een native browser-API met (zeer) hoge toestemming.”
De aanvalsketen wordt vervolgens afgebroken, waardoor een speciaal vervaardigde extensie ontstaat die zich voordoet als een mobiel apparaat dat kan worden gekoppeld aan de computer van het slachtoffer en een gecodeerde kwaadaardige lading via het aangepaste JavaScript-bestand naar de host kan verzenden voor daaropvolgende uitvoering door de gebruiker te vragen ergens op het scherm te klikken. .
De bevindingen benadrukken de toenemende complexiteit van browsergebaseerde aanvallen en de verschillende vectoren die door bedreigingsactoren in hun voordeel kunnen worden uitgebuit.
“Ondanks dat ze in sandbox-omgevingen werken, kunnen extensies krachtige hulpmiddelen zijn voor hackers, waardoor ze informatie kunnen stelen en de beveiligingsgrenzen van de browser kunnen doorbreken”, vertelde het bedrijf aan The Hacker News.
“Dit onderstreept de noodzaak van interne ontwerpwijzigingen bij Opera en verbeteringen in de infrastructuur van Chromium. Het uitschakelen van extensierechten van derden op speciale productiedomeinen, vergelijkbaar met de Chrome-webwinkel, wordt bijvoorbeeld aanbevolen, maar is nog niet door Opera geïmplementeerd.”
Toen Opera voor commentaar werd benaderd, zei het dat het snel actie heeft ondernomen om het beveiligingslek te dichten en een oplossing aan de serverzijde te implementeren, en dat het stappen onderneemt om te voorkomen dat dergelijke problemen zich opnieuw voordoen.
“Onze huidige structuur maakt gebruik van een HTML-standaard en is de veiligste optie die de belangrijkste functionaliteit niet verbreekt”, aldus het bedrijf. “Nadat Guardio ons op deze kwetsbaarheid had gewezen, hebben we de oorzaak van deze problemen weggenomen en zorgen we ervoor dat soortgelijke problemen zich in de toekomst niet zullen voordoen.”
“We willen Guardio Labs bedanken voor hun werk bij het blootleggen en ons onmiddellijk waarschuwen voor deze kwetsbaarheid. Deze samenwerking laat zien hoe we samenwerken met beveiligingsexperts en onderzoekers over de hele wereld als aanvulling op onze eigen inspanningen om de veiligheid van onze producten te behouden en te verbeteren en ervoor te zorgen dat onze gebruikers een veilige online-ervaring hebben.”
