ブラウザ拡張のセキュリティの話 / Browser Extension Security

Transcript

1. ブラウザ拡張の セキュリティの話 公開社内勉強会 vol.4 @ei @canalun

2. 自己紹介 ei (@ei01241) GMO Flatt Security セキュリティエンジニア 脆弱性レポートを読んだりするのが好き 脳筋

3. 自己紹介 canalun (@i_am_canalun) GMO Flatt Security セキュリティエンジニア ブラウザを開発したり、バグハントしたりが好き 気合い系です

4. 目次 ブラウザ拡張とは ブラウザ拡張の全体像 ブラウザ拡張への攻撃 ブラウザ拡張への攻撃の対策

5. 02 ブラウザ拡張とは

6. ブラウザ拡張って何？？ ブラウザにインストールして使う拡張機能 拡張機能だけが使えるAPIが多く存在し、できることがたくさんある ネットワーク通信への介入 ページの書き換え、スクリプトの注入 CookieやStorageへのアクセス いろいろできるので、いろいろある。機微情報を扱うものも多い リクエスト・レスポンスの改変(Requestlyなど) クレデンシャルの自動入力・管理(1Passwordなど) 外部アプリとの連携(Notion

   Web Clipperなど) ページの監視(DOMLogger++など)

7. Attack Surfaceとしてのブラウザ拡張 ブラウザ拡張はAttack Surfaceとして注目され始めている 設定次第(後述)だが、掌握できれば強い権限が持てる LayerXが自社ユーザー企業を対象に行った調査 “99% of enterprise users

   have a browser extension installed in their browsers, and more than half (52%) of employees have more than 10 extensions installed. This means that browser extensions are a threat surface that touches almost every single enterprise employee.”
 (LayerX Enterprise Browser Extension Security Report 2025) 実際、1PasswordやMetamaskでClickjackingが見つかっている

8. 02 ブラウザ拡張の全体像

9. 目次 ブラウザ拡張の全体像 主なコンポーネント コンポーネント間の協調 manifest.json web accessible resource

10. 目次 ブラウザ拡張の全体像 主なコンポーネント コンポーネント間の協調 manifest.json web accessible resource

11. 拡張を構成する主なコンポーネント service worker (background) content script options page popups (他にもDevTools

    Panelの追加ができたり、アドレスバーでのサジェストができ たり、、、今回は時間の都合で省略します)

12. service worker (background) 要するに？ 拡張機能のブレイン(になりがち) できること 強力なAPIの使用 タブ監視やブックマーク作成、通信への介入などなど コンテキストのオリジン(globalThis.origin) chrome-extension://<extension-id>

    クレデンシャル管理拡張でいうなら、クラウドとのクレデンシャル同期やクレ デンシャル情報の管理をする役割を担う

13. content script 要するに？ ページの内容(≒DOM)に働きかける担当 できること WebページのDOMを操作できる JavaScriptやCSSの注入もできる 例えば1Passwordのこいつが出している コンテキストのオリジン(window.origin) Webページのオリジン(main

    worldでもisolated worldでも) クレデンシャル管理拡張でいうなら、入力フォームの検知やアイコン表示、自 動入力を担う

14. main worldとisolated world Content Scriptを実行できるコンテクスト Isolated World WebページとDOMだけを
 共有する隔離されたコンテクスト Main

    World Webページと同じコンテクスト

15. main worldとisolated world Isolated Worldでは、Main WorldのJS変数は見れない window.fooやdiv.barはお互い独立していて、お互いのものは見れない もちろんdivの属性といったDOMの情報は共有される 拡張がMain Worldを使うのは、例えばプロトタイプを上書きしたいとき

16. もっと詳しく、、、

17. vimiumの例: https://chromewebstore.google.com/detail/vimium/dbepggeogbaibhgnhhndojpepiihcmeb options page / popups

18. options page / popups 要するに？ 拡張の設定を行う場所(になりがち) できること いま見たように、埋め込みオプションページやポップアップを出せる 実はbackgroundと コンテキストのオリジン

    chrome-extension://<extension-id> クレデンシャル管理拡張でいうなら、アカウント管理やクレデンシャル閲覧機 能などを担う

19. 全体像

20. 目次 ブラウザ拡張の全体像 主なコンポーネント コンポーネント間の協調 manifest.json web accessible resource

21. ブラウザ拡張は各コンポーネントが協調して動く 拡張はとにかく各コンポーネントが連携して動く たとえばクレデンシャル管理拡張は下記のように動く
 (実在する拡張機能の解説ではなく、あくまでも例です) popupsにマスターパスワードを入れる service workerがそれを受けとってクラウドにログインを済ませる content scriptが画面上の入力フォームを検知してservice workerに通知

    service workerが現在のタブのドメインを取得する service workerがドメインに合致したクレデンシャルを検索 service workerが見つけたクレデンシャルをcontent scriptに渡す content scriptがフォームに自動入力する

22. 各コンポーネントがやりとりする方法 Main WorldのContent Script ↔ Isolated WorldのContent Script DOMを介したメッセージング(e.g. message

    eventやcustom event) SW / Options page / Popups → Content Script tabs.sendMessage Content Script → SW / Options page / Popups runtime.sendMessage SW / Options page / Popups ↔ SW / Options page / Popups runtime.sendMessage

23. 目次 ブラウザ拡張の全体像 主なコンポーネント コンポーネント間の協調 manifest.json web accessible resource

24. 拡張のメタ情報がつまったJSONファイル (右はかなり端折ったイメージ)
 拡張の名前・バージョン 各コンポーネントのエントリーポイント 権限 web accessible resource(後述)の設定 options pageなどにおけるCSPの設定

    などなど manifest.json

25. いくつかの拡張APIは使用に権限が求められる https://support.google.com/chrome/a/answer/7515036 権限と、できるようになること tabs: タブの取得や操作 storage: 拡張ストレージの使用 notifications: 通知機能の使用 などなど。種類が尋常でなく多い

    使うAPIに合わせて、
 権限をmanifest.jsonで宣言する

26. 権限と、できるようになること tabs: タブの取得や操作 storage: 拡張ストレージの使用 notifications: 通知機能の使用 などなど。種類が尋常でなく多い 使うAPIに合わせて、
 権限をmanifest.jsonで宣言する

    いくつかの拡張APIは使用に権限が求められる ストアでユーザーが権限を確認して 自己責任でインストールする brick break anywhereの例: https://chromewebstore.google.com/detail/brick-break-anywhere/lkbkphlgmknnachlgmbdmoepfnfdeckb

27. 目次 ブラウザ拡張の全体像 4つのコンポーネント コンポーネント間の協調 manifest.json web accessible resource

28. 1Passwordの例: https://chromewebstore.google.com/detail/1password-%E2%80%93-password-mana/aeblfdkhhhdcdjpifhhbdiojplfjncoa web accessible resource = webページから読み込めるリソース 1Passwordなんかはページ上にアイコンを表示する このアイコンはDOMに埋め込まれている つまり、webページのDOMは、


    拡張が提供する画像アイコンにアクセスできる 拡張が提供するリソースで、
 webページからアクセスできるものを
 web accessible resourceと呼ぶ 他にもスクリプト(jsファイル)など色々ある

29. 03 ブラウザ拡張への攻撃

30. 目次 権限不備 XSS リクエストフォージェリ Extension API Injection クリックジャッキング iframe型 DOM型

    情報漏洩 Prototype型 DOM型

31. 目次 権限不備 XSS リクエストフォージェリ Extension API Injection クリックジャッキング iframe型 DOM型

    情報漏洩 Prototype型 DOM型

32. 権限はmanifest.jsonで宣言される ワイルドカードを使った緩い権限がよくある →の例はcontent scriptにどこからでも
 アクセスできる 権限不備

33. 加えて、他のOriginのCookieに
 アクセスできる権限があったとする 権限不備

34. Background Scriptは
 要求されたドメインの全Cookieを返すとする 権限不備

35. 権限不備 権限が過剰であり、Content Script上でXSSが発火した場合には、全てのWeb ページに影響を及ぼす 例えば、他のOriginのCookie(website-a.comのCookieなど)にアクセスできる

36. 権限不備 攻撃者のWebページにこのようなJSを 用意して被害者に踏ませることで、
 website-a.comのCookieに
 アクセスできる

37. 目次 権限不備 リクエストフォージェリ Extension API Injection クリックジャッキング iframe型 DOM型 情報漏洩

    Prototype型 DOM型 XSS

38. Content ScriptがWebページから受け取った値を
 そのままinnerHTMLに入れるなら攻撃者のページで
 素直にpostMessageするとXSSが発火する ただし、どこまで何ができるかは
 Content Scriptの実装に依存する。
 大抵はBackground Scriptに
 対して何らかの操作ができるはず

    XSS

39. 目次 権限不備 XSS Extension API Injection クリックジャッキング iframe型 DOM型 情報漏洩

    Prototype型 DOM型 リクエストフォージェリ

40. ブラウザ拡張のCookieを利用するため、ネットワークリクエストのURLに影響 を及ぼせれば、意図しないリクエストを認証情報付きでリクエストさせられる ただし、拡張機能のマニフェストのpermissions/host_permissionsエントリで そのウェブサイトが許可されているかどうかに依存する リクエストフォージェリ

41. 拡張機能のマニフェストの permissions/host_permissions
 エントリで許可されている リクエストフォージェリ

42. content.jsは受け取った値を background.jsに流すだけ background.jsはfetchを実行するが、
 Cookie付きでリクエストされる リクエストフォージェリ

43. 攻撃者はCookie付きでリクエスト
 ができる リクエストフォージェリ

44. 目次 権限不備 XSS リクエストフォージェリ クリックジャッキング iframe型 DOM型 情報漏洩 Prototype型 DOM型

    Extension API Injection

45. ダウンロードAPIやブックマーク作成APIなどに攻撃者が制御する値が入ると DoSや情報漏洩に繋がる可能性がある 以前はtabs.update()でブラウザバーからXSSができたが…今は修正されている Extension API Injection

46. manifest.jsonがダウンロードを許可
 している Extension API Injection

47. content.jsがWebページからの
 メッセージをBackgroundに横流しする downloads.downloadのURLに
 メッセージを入れる Extension API Injection

48. 攻撃者の用意するページで
 巨大なファイルを用意しておく Extension API Injection

49. 目次 権限不備 XSS リクエストフォージェリ Extension API Injection クリックジャッキング DOM型 情報漏洩

    Prototype型 DOM型 iframe型

50. web_accessible_resourcesに
 設定ミスがある iframe型クリックジャッキング

51. manifest.jsonの web_accessible_resourcesに
 機密情報を含むHTMLファイルが
 定義されている iframe型クリックジャッキング

52. 攻撃者はそのファイルを
 透明なiframeに入れて
 拡張機能をクリックするページを
 作成すると、
 クリックジャッキングで
 機密情報が抜ける iframe型クリックジャッキング

53. 目次 権限不備 XSS リクエストフォージェリ Extension API Injection クリックジャッキング iframe型 情報漏洩

    Prototype型 DOM型 DOM型

54. 悪意のあるWebページがブラウザ拡張機能によってDOMに挿入されたUI要素を 操作する新しいクリックジャッキング手法。 https://marektoth.com/blog/dom-based-extension-clickjacking/ DOM型クリックジャッキング

55. 目次 権限不備 XSS リクエストフォージェリ Extension API Injection クリックジャッキング iframe型 DOM型

    情報漏洩 DOM型 Prototype型

56. Prototype型情報漏洩 拡張がmain worldで
 content scriptを実行する そのcontent scriptに機微情報を渡す しかし、、、
 main worldのprototypeは


    Webページのスクリプトによって
 汚染されている

57. 目次 権限不備 XSS リクエストフォージェリ Extension API Injection クリックジャッキング iframe型 DOM型

    情報漏洩 Prototype型 DOM型

58. DOM型情報漏洩 拡張がcontent scriptを介して
 DOM上に機微情報を書き込む しかし、、、main worldのスクリプトは
 DOMの情報を読み取れる！ Shadow DOMは
 セキュリティ機構ではないので注意

    ノートアプリ連携拡張とかで危ない

59. 04 ブラウザ拡張への攻撃の対策

60. ブラウザ拡張への攻撃の対策 Webページからの入力は全て検証する 最小権限の原則に従う Webのコンテキスト(PrototypeやDOM)に機密情報を持たせない