Firefox里的未知扩展正在将不需要的代码注入用户访问过的网站

Posted 2021-04-27 嘶吼专业版

Pinterest堪称图片版的Twitter，网民可以将感兴趣的图片在Pinterest保存，其他网友可以关注，也可以转发图片。Pinterest目前的广告营收或近10亿美元，估值最高150亿美元。由于Pinterest采用的是瀑布流的形式展现图片内容，无需用户翻页，新的图片不断自动加载在页面底端，让用户不断的发现新的图片。

所以为了提高用户的使用体验，Firefox浏览器也就添加了一个未命名的浏览器扩展（由用户在Firefox上安装），旨在为用户访问的任何网站提供Pinterest共享图标和功能，以便将网站共享到Pinterest。不过有安全专家发现，这个未命名的扩展会将格式错误的代码注入到浏览器的文本编辑器中。尽管当前注入的代码是无害的，但是存在一定的风险被滥用。根据目前的统计，已有至少5000个网站遭到了这样的代码注入。

该发现是网络安全公司Sucuri与本周二（7月24号）发现并报告的，该事件强调了目前浏览器扩展所面临的各种问题，稍有不慎就会被攻击者使用。

Sucuri表示，由于扩展程序开发得很差，它还无意中将一段错误的代码添加到受影响的浏览器中创建的任何基于文本的内容中，包括帖子、电子邮件和聊天。

总之，Sucuri表示，在5000个网站上发现了与这个Firefox浏览器扩展相关的格式错误的代码。

在过去，有无数的恶意浏览器扩展程序都成功的窃取过登录凭据，这其中就包括一些木马，对访问用户进行窥探，或通过伪造的合法扩展程序，将其恶意部分添加到其中。

扩展是恶意攻击者常用的工具，去年，一种名为Copyfish的Chrome和Firefox的流行免费光学字符识别（OCR）扩展被攻击者劫持，攻击者使用它来发送垃圾邮件和不需要的广告。原因是Copyfish的团队成员不小心在钓鱼页面输入了密码，攻击者随后劫持了Copyfish for Chrome的账号，将Copyfish转移到他们控制的账号。

由于Pinterest的受欢迎程度，所以这个未命名扩展会被很多用户安装。

对涉及网站的Bootstrap的跟踪调查

面包屑导航（Breadcrumbs）是一种基于网站层次信息的显示方式。以博客为例，面包屑导航可以显示发布日期、类别或标签。它们表示当前页面在导航层次结构内的位置。Bootstrap 中的面包屑导航（Breadcrumbs）是一个简单的带有 .breadcrumb class 的无序列表。

Sucuri的研究人员最近发现了几个完全不同的网站，其中一个网站似乎包含了一个经过base64编码的图像，只是它没有在网站上呈现出来，代码字符串仅出现在源代码视图中。

分析显示，同一段代码伪装成各种插件和主题已经出现在多个网站上，其中许多代码都托管在不同的服务器上。此外，Sucuri说，很明显网站所有者并没有自己添加代码。

经过一番挖掘，研究人员发现这些网站有一个共同点，他们都拥有相同的网站管理员。网站管理员通过安装这个漏洞百出的浏览器扩展，不知不觉的将代码片段注入到他们编辑的任何WordPress页面中。

注入无用的脚本

在这种情况下，注入代码就是一个格式错误的图像脚本，它似乎是由于开发错误导致的，而不是恶意攻击造成的。

在网站上展示图片的方法多种多样，最常见的方法是将文件上传到服务器并使用指向它的标签，这个标签非常通用。除了接受托管在同一服务器上的图像文件之外，它还接受远程文件。不管你信不信，整个图像被编码为base64字符串。

这意味着如果表示图像的代码字符串放置在浏览器URL栏中，该图像将显示在浏览器中，这其实是一种获取远程图像的方法。

使用base64编码图像文件的这种方法相当普遍，因为它可以帮助页面提高加载速率，提升用户体验。这种优化技术将图像存储在页面源代码中，浏览器直接对其进行解释，这可以避免请求过程并将其他文件从服务器直接传输到客户端。

在使用Pinterest的情况下，所涉及的代码片段就会被注入到呈现的图像中，但是站点访问者是无法看到的。这很可能是因为整个字符串都是小写的，这是研究人员在讨论base64时遇到的一个问题，就是区分大小写的问题。

被注入不必要代码的后果

如果研发人员犯了错误，比如将扩展代码泄露到任何基于浏览器的文本编辑器（在本文中，指的是WordPress的帖子编辑器）。那在这种情况下，一个简单的Pinterest图标扩展就会被添加到浏览器中以保存Pinterest上的链接。

扩展本质上会导致代码注入任何内容，理论上，这是恶意软件的完美载体。想象一下，如果你正在浏览银行网站或是发送重要的电子邮件或在购买页面上提交你的个人信息，那这种注入的严重性如何？ 如果它在你的网站上打开漏洞怎么办？

所以关键的一点是要注意我们在浏览器上使用的扩展，因为它们可以直接与呈现给我们的内容进行交互，特别是当我们处理敏感数据时。

目前，还很难评估这些类型注入在扩展中的普遍程度，但看到代码可以注入到文本输入字段，你就可以想象如果存在恶意目的，那么后果会有多严重。