Opera web 浏览器修复了一个漏洞，可导致恶意扩展获得对私密API的完全越权访问权限。

Guardio Labs 提到，该攻击名为CrossBarking，可截屏、修改浏览器设备以及账户劫持。为演示该问题，该公司表示已在 Chrome Web Store设法发布看似无害的浏览器扩展，而一旦将其安装在 Opera 上即可利用该漏洞，使其成为跨浏览器存储 (cross-browser-store) 攻击的实例。

Guardio Labs 的负责人 Nati Tal 在报告中提到，“该案例不仅凸显了生产力与安全性之间的持久冲突，还让我们窥见现代威胁行动者所使用的技术。”Opera 在2024年9月24日修复了该漏洞。但该漏洞并未 Opera 修复的第一个漏洞。

今年1月初，一个名为 “MyFlaw” 的漏洞利用合法特性 My Flow 在底层操作系统上执行任意文件。最新发生的攻击说明多个由 Opera 所有的公开可访问子域对内嵌在该浏览器中的私有 API 拥有提升后的访问权限。这些域名用于支持Opera的特定特性如 Opera Wallet、Pinboard等以及用于内部开发中的特性。

其中一些域的名称中还包含一些第三方域名，如下：

虽然沙箱逃逸确保浏览器上下文与余下的操作系统隔离，但 Guardio 的研究结果显示，浏览器扩展中的内容脚本也可被用于将恶意 JavaScript 注入权限过多的域名中并访问私有API。Tal 解释称，“内容脚本确实拥有访问 DOM（文档对象模型）的权限，包括通过增加一些元素对其进行突然变更。”

攻击者通过该访问权限能够截屏所有打开的标签，提取会话 cookie 劫持账户，甚至修改浏览器的 DoH 设置，通过攻击者控制的 DNS 服务器解析域。之后当受害者尝试访问银行或社交媒体站点时，就会发动中间人攻击，将受害者重定向到恶意站点。

该恶意扩展可在任何扩展分类中发布，包括谷歌 Chrome Web Store 在内。用户可从中下载并将其添加到自己的浏览器中，实际上是触发了该攻击。不过，执行攻击要求具有在任何网页上运行 JavaScript 的权限，尤其是能够访问私有API的域的权限。

恶意浏览器扩展一直都在渗透官方商店，更不用说对数据收集实践缺乏透明度的合法扩展，本次发现强调了在安装这些扩展前保持警惕的重要性。Tal表示，“浏览器扩展掌握着巨大能力，不管这种能力能造成或好或坏的结果。因此策略执行者必须对它们进行严密监控。当前的审计模式不起作用，我们建议通过更多的人工和持续分析方式，在批准后也对扩展活动进行监控，进行支持。另外，为开发者账户执行真实身份验证至关重要，因此只通过一封免费邮件和预付款信用卡进行注册是不够的。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~