| 요약 | - 구글은 크롬 플러그인 생태계를 보호하기 위한 보안 장치 마니페스트 V3(Manifest V3) 도입 - 일부 연구원들이 마니페스트 V3(Manifest V3)를 뚫어버리는 데 성공 |
| 내용 | - 마니페스트 V3(Manifest V3) > 정상적인 브라우저 플러그인들에는 필요한 접근 권한을 주고 악성 플러그인에는 주지 않는 안전 장치 > API 남용을 제한하고, 확장 프로그램이 원격으로 호스팅되는 코드를 가져오지 못하게 하며, 임의 코드 실행으로 이어지는 eval 문 사용을 방지 > 브라우저 플러그인들이 일단 한 번 설치된 후에는 원격의 웹사이트에서 코드를 따로 불러오거나 다운로드 하지 못하도록 하여, 업데이트 등을 통하여 플러그인의 기능이 완전히 바뀌는 일이 일어나지 않음 > 즉 이론상 완벽한 스토어 지킴이라는 것 - 위스콘신대학의 매디슨 연구원들이 마니페스트 V3가 도입된 후 크롭 웹스토어를 속이는 방법 연구 및 성공 > 해당 기능에도 불구하고 악성 플러그인이 여전히 동작하는 것은 플러그인과 웹 페이지 간 상호작용의 패턴이 변하지 않았기 때문 > 브라우저 플러그인들은 여전히 웹 페이지에 수록되어 있는 모든 콘텐츠에 접근할 수 있음 (민감 정보를 입력할 가능성 있는 텍스트 입력 필드 또한 포함) > 챗GPT와 비슷한 기능을 웹사이트에 추가해 주는 플러그인 개발 및 세 가지 공격 기능 탑재 ① 소스 추출 공격(source extraction attack) ② 명성 및 신뢰 손상 공격(value attack) ③ 가짜 요소 삽입 공격(element substitution attack) > 연구에 사용된 비밀번호 수집 공격이 가능한 크롬 확장 프로그램 ① 사용자가 정규식을 통해 로그인을 시도할 때 HTML 소스 코드를 캡쳐 ② CSS 선택기를 남용하여 대상 입력 필드를 선택하고, '.value' 함수를 사용해 사용자 입력을 추출 ※ 확장 프로그램 자체에는 악성 코드가 포함되어 있지 않아 정적 탐지를 피하고, 외부 소스 코드를 가져오지 않으므로 마니페스트 V3 우회 ※ 확장 프로그램은 연구 완료 후 즉시 삭제 - 브라우저 플러그인들이 웹 페이지들의 문서 객체 모델(Document Object Model, DOM)에 무한정 접근 권한을 가지고 있다는 것이 문제의 근원 > DOM이란 XML, HTML 문서의 각 항목을 계층으로 표현하여 생성, 변형, 삭제할 수 있도록 돕는 인터페이스 > 개발자가 관련 권한을 줄이거나 삭제하고 있음에도, 약 12.5%의 플러그인이 DOM에 접근 가능하였으며, 190개 정도의 플러그인은 비밀번호 입력 필드에도 접근이 가능한 것으로 조사됨 |
| 기타 | - 구글의 브라우저 플러그인 생태계 보호를 위한 조치뿐 아니라 사용자들 또한 검증된 플러그인을 설치해야할 필요가 있음 - 위스콘신대학의 매디슨 연구원의 기술 논문에서 주목할만한 웹 사이트 목록 참고 ① gmail.com – HTML 소스 코드의 일반 텍스트 비밀번호 ② cloudflare.com – HTML 소스 코드의 일반 텍스트 비밀번호 ③ facebook.com – DOM API를 통해 사용자 입력을 추출할 수 있음 ④ citibank.com – DOM API를 통해 사용자 입력을 추출할 수 있음 ⑤ irs.gov – SSN은 웹 페이지 소스 코드에서 일반 텍스트 형식으로 표시 ⑥ capitalone.com – SSN은 웹 페이지 소스 코드에서 일반 텍스트 형식으로 표시 ⑦ usenix.org – SSN은 웹 페이지 소스 코드에서 일반 텍스트 형식으로 표시 ⑧ amazon.com – 신용 카드 세부 정보(보안 코드 포함) 및 우편 번호가 페이지 소스 코드에 일반 텍스트 형식으로 표시 |
보안뉴스
야심차게 준비한 크롬 웹스토어의 안전 장치, 잠깐의 실험만으로 뚫렸다
정상적으로 보이지만 사실은 악성인 구글 크롬 브라우저용 확장 프로그램이 공식 크롬 웹스토어에 자주 나타나는 것으로 조사됐다. 공식 스토어라고 해도 공격자들 입장에서 뚫어내는 게 그리
www.boannews.com
Chrome extensions can steal plaintext passwords from websites
A team of researchers from the University of Wisconsin-Madison has uploaded to the Chrome Web Store a proof-of-concept extension that can steal plaintext passwords from a website's source code.
www.bleepingcomputer.com
'보안뉴스' 카테고리의 다른 글
| 구글의 루커스튜디오 악용한 공격자들, 이메일 보안 장치들 농락 (0) | 2023.09.14 |
|---|---|
| TLS 인증서의 유효 기간 줄인다는 구글, 어떻게 대처해야 할까? (0) | 2023.09.08 |
| 사이버 생태계를 더 위험하게 만드는 골칫거리, 룻키트 (0) | 2023.07.19 |
| USB 활용한 사이버 공격, 아직 알 수 없는 이유로 급증하고 있어 (0) | 2023.07.19 |
| 개인정보·답안지 유출 등 말 많고 탈 많은 ‘4세대 나이스’... 교육계 일대 ‘혼란’ (0) | 2023.06.27 |