Google Chrome浏览器漏洞使数十亿用户遭受数据被盗风险
谷歌的Chrome浏览器中存在安全漏洞,攻击者可利用该漏洞绕过网络的内容安全策略(CSP),进而窃取用户数据并执行流氓代码。
PerimeterX网络安全研究人员Gal Weizman表示,该漏洞编号为CVE-2020-6519,存在于Windows、Mac和安卓的Chrome、Opera和Edge浏览器中,潜在影响用户多达十亿。其中,Chrome的73版本(2019年3月)到83版本均会受到影响,84版本已在7月发布,并修复了该漏洞。Chrome浏览器拥有超过20亿用户,并且占浏览器市场的65%以上。
CSP是一种Web标准,旨在阻止某些攻击,比如跨站点脚本(XSS)和数据注入攻击。CSP允许Web管理员指定浏览器将其视为可执行脚本的有效源的域。然后,与CSP兼容的浏览器将仅执行从这些域接收的源文件中加载的脚本。
对此,Weizman在报告中表示:“CSP是网站所有者用来执行数据安全策略以防止在其网站上执行恶意影子代码的主要方法,因此当绕过浏览器执行时,个人用户数据将面临风险。”
目前,大多数网络均使用CSP策略,比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo和Zoom等互联网巨头。当然,也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不会受此次漏洞的影响。
Chrome的CSP强制执行机制中存在漏洞并不直接表示网站已被破坏,因为攻击者还需要设法从该网站获取恶意脚本。网站信任的安全机制存在漏洞,安全机制原本可以对第三方脚本执行更严格的策略,但是因为漏洞会让网站认为他们是安全的而允许他们通过。
攻击者利用该漏洞获取Web服务器权限(通过暴破密码或者其他方式)并修改JavaScript利用代码。在JavaScipt中增加 frame-src或者child-src指令,攻击者利用这种方式饶过CSP策略执行、绕过网站安全规则。
经验证后,该漏洞的威胁程度为中等(6.5分),然而,因为该漏洞涉及CSP策略执行,所以影响很广。网站开发人员允许第三方脚本修改支付页面,比如知道CSP会限制敏感信息,所以破坏或者绕过CSP,便可以窃取用户敏感信息比如支付密码等。这无疑给网站用户的信息安全带来很大的风险。
该漏洞在Chrome浏览器中存在超过一年了,目前该漏洞已经修复。但是该漏洞的后续影响尚不明确,一旦遭到利用,用户数据遭窃取用于非法途径,后果将不堪设想。
在报告中还可以看到安全研究人员测试浏览器或者网站是否容易受到该漏洞影响的过程,创建一个简单的脚本,当通过devtools控制台执行该脚本时,可以测试所有这些网站,该脚本将立即通知当前的浏览器/网站是否由于CSP/Old Chrome配置错误而受到CVE-2020-6519的攻击。尝试从https://pastebin.com/raw/XpHsfXJQ正常加载外部js脚本,并加载漏洞利用程序。以下以测试后的三种结果:
浏览器和网站容易受到攻击
浏览器易受攻击,但网站不易受攻击
浏览器不容易受到攻击
因此,用户可从以下几个方面做好安全防护措施:
1.确保CSP策略定义正确。考虑添加其他安全性层,例如nonces或hashs,这将需要在一些服务器端实现
2.仅CSP对大多数网站而言还不够,因此,请考虑添加其他安全层。考虑基于JavaScript的影子代码检测和监视,以实时缓解网页代码注入
3.确保Chrome浏览器版本为84或更高版本。