CrossBarking: как безобидные расширения превращают Opera в идеального шпиона

Новая уязвимость позволяет захватывать пользовательские аккаунты без лишних следов.

В браузере Opera была обнаружена уязвимость, которая позволяла вредоносным расширениям получить несанкционированный доступ к закрытым API. Как сообщила Guardio Labs, уязвимость, названная CrossBarking, могла позволить злоумышленникам делать снимки экрана, изменять настройки браузера и захватывать учётные записи пользователей.

Специалисты Guardio Labs продемонстрировали проблему, опубликовав безвредное на первый взгляд расширение в Chrome Web Store. При его установке в браузер Opera это расширение использовало уязвимость, превращая атаку в межбраузерную. Данный случай подчёркивает конфликт между удобством и безопасностью, а также показывает, как современные угрозы могут использовать скрытые методы, отметил глава Guardio Labs Нати Таль.

Уязвимость была устранена Opera 24 сентября 2024 года после того, как разработчики были уведомлены об угрозе. Однако это не первый случай обнаружения уязвимостей в данном браузере. Так, в начале года была выявлена другая проблема, связанная с функцией My Flow, которая позволяла выполнять файлы на операционной системе.

Основной метод атаки основан на том, что некоторые поддомены Opera имеют привилегированный доступ к закрытым API, встроенным в браузер. Эти поддомены, такие как Opera Wallet и Pinboard, также используются для внутренних разработок. Guardio Labs обнаружила, что скрипты контента в браузерных расширениях могут внедрять вредоносный JavaScript в поддомены с чрезмерными правами доступа и, таким образом, получать доступ к API.

Такой доступ позволяет злоумышленникам делать скриншоты, извлекать сессионные куки для захвата учётных записей и даже менять настройки DNS браузера, перенаправляя пользователей на контролируемые DNS-серверы. Это открывает возможности для атак «человек посередине», при которых жертвы могут быть перенаправлены на фальшивые сайты банков и социальных сетей.

Расширение могло быть загружено в любой из каталогов дополнений, включая Chrome Web Store, и с разрешением на выполнение JavaScript запускать атаку на определённых доменах с доступом к API. Guardio Labs подчёркивает важность осторожности при установке расширений, особенно в свете того, что официальные магазины нередко становятся площадкой для вредоносных программ.

В Guardio Labs также отметили, что мощь браузерных расширений может быть опасной, и для защиты пользователей необходим более строгий контроль. Для этого предлагается не только усилить процесс проверки, но и потребовать реальную идентификацию разработчиков, чтобы предотвратить регистрацию аккаунтов с использованием бесплатной электронной почты и предоплаченных карт.