Arrière-plan

Le 3 juin 2024, l'utilisateur de Twitter @CryptoNakamaoa partagé son expérience de perte de 1 million de dollars en raison du téléchargement de l'extension Chrome malveillante Aggr, suscitant des inquiétudes au sein de la communauté crypto concernant les risques liés aux extensions et à la sécurité de leurs propres actifs. Le 31 mai, l'équipe de sécurité SlowMist a publié une analyse intitulée « Loup déguisé en agneau | Analyse des fausses extensions Chrome volant », détaillant les actions malveillantes de l'extension Aggr. Compte tenu du manque de connaissances de base des utilisateurs sur les extensions de navigateur, le responsable de la sécurité des informations de SlowMist, 23pds, a utilisé un format de questions-réponses dans l'article pour expliquer les bases et les risques potentiels des extensions. Ils ont également fourni des recommandations pour atténuer les risques liés aux extensions, dans le but d'aider les utilisateurs individuels et les plateformes de trading à renforcer la sécurité de leurs comptes et de leurs actifs.

(https://x.com/im23pds/status/1797528115897626708)

Questions et réponses

1. Qu'est-ce que les extensions Chrome?

Une extension Chrome est un plugin conçu pour Google Chrome afin d'étendre les fonctionnalités et le comportement du navigateur. Ces extensions peuvent personnaliser l'expérience de navigation de l'utilisateur, ajouter de nouvelles fonctionnalités ou du contenu et interagir avec les sites web. Les extensions Chrome sont généralement construites en utilisant HTML, CSS, JavaScript et d'autres technologies web. La structure d'une extension Chrome comprend généralement les composants suivants :

1. manifest.json: Le fichier de configuration de l'extension, définissant des informations de base telles que le nom, la version, les autorisations, etc.
2. Scripts d'arrière-plan: Scripts qui s'exécutent en arrière-plan du navigateur, gérant les événements et les tâches de longue durée.
3. Scripts de contenu : Scripts qui s'exécutent dans le contexte des pages web, permettant une interaction directe avec les pages web.
4. Interface utilisateur (UI) : comprend des éléments tels que les boutons de la barre d'outils du navigateur, les fenêtres pop-up, les pages d'options, etc.

2. Que font les extensions Chrome?

1. Bloqueurs de publicités : extensions qui peuvent intercepter et bloquer les annonces sur les pages Web, améliorant ainsi la vitesse de chargement de la page et l'expérience utilisateur. Les exemples incluent AdBlock et uBlock Origin.
2. Confidentialité et sécurité : Certaines extensions renforcent la confidentialité et la sécurité des utilisateurs en empêchant le suivi, en chiffrant les communications, en gérant les mots de passe, etc. Parmi les exemples, citons Privacy Badger et LastPass.
3. Outils de productivité : Extensions qui aident les utilisateurs à augmenter leur productivité, telles que la gestion des tâches, la prise de notes, le suivi du temps, etc. Des exemples incluent Todoist et Evernote Web Clipper.
4. Outils de développement : Outils pour les développeurs Web qui fournissent des capacités de débogage et de développement, telles que l'inspection de la structure des pages Web, le débogage du code, l'analyse des requêtes réseau, etc. Les exemples incluent les outils de développement React et Postman.
5. Médias sociaux et communication : Extensions qui intègrent des outils de médias sociaux et de communication, permettant aux utilisateurs de gérer les notifications des médias sociaux, les messages, etc. tout en naviguant. Des exemples incluent Grammarly et Facebook Messenger.
6. Personnalisation Web: Les utilisateurs peuvent personnaliser l'apparence et le comportement des pages Web en utilisant des extensions, telles que le changement de thèmes, le réarrangement des éléments de la page, l'ajout de fonctionnalités supplémentaires, etc. Les exemples incluent Stylish et Tampermonkey.
7. Tâches d'automatisation : Extensions qui aident à automatiser des tâches répétitives comme remplir des formulaires, télécharger des fichiers par lots, etc. Des exemples incluent iMacros et DownThemAll.
8. Traduction de langue : Certaines extensions peuvent traduire le contenu des pages Web en temps réel, aidant les utilisateurs à comprendre les pages Web dans différentes langues, comme Google Translate.
9. Assistance en matière de cryptomonnaie : Extensions facilitant les expériences de trading de cryptomonnaie pour les utilisateurs, telles que MetaMask, etc.

La flexibilité et la diversité des extensions Chrome leur permettent de s'appliquer à presque tous les scénarios de navigation, aidant les utilisateurs à accomplir leurs tâches de manière plus efficace.

3. Quelles autorisations l'extension Chrome a-t-elle après son installation?

Après l'installation, les extensions Chrome peuvent demander une série d'autorisations pour exécuter des fonctions spécifiques. Ces autorisations sont déclarées dans le fichier manifest.json de l'extension et demandent aux utilisateurs une confirmation lors de l'installation. Les autorisations courantes incluent :

1. <all_urls>: Autorise l'extension à accéder au contenu de tous les sites web. Cette autorisation étendue permet à l'extension de lire et de modifier les données sur tous les sites web.
2. onglets : Permet à l'extension d'accéder aux informations sur les onglets du navigateur, y compris l'accès aux onglets actuellement ouverts, la création et la fermeture des onglets, etc.
3. activeTab: Permet à l'extension d'accéder temporairement à l'onglet actif, généralement utilisé pour effectuer des actions spécifiques lorsque l'utilisateur clique sur le bouton de l'extension.
4. stockage : Permet à l'extension d'utiliser l'API de stockage de Chrome pour stocker et récupérer des données. Cela peut être utilisé pour sauvegarder les paramètres de l'extension, les données utilisateur, etc.
5. cookies : Permet à l'extension d'accéder et de modifier les cookies dans le navigateur.
6. webRequest et webRequestBlocking : permet à l'extension d'intercepter et de modifier les requêtes réseau. Ces autorisations sont souvent utilisées dans les extensions de blocage des publicités et de protection de la vie privée.
7. marque-pages : Permet à l'extension d'accéder et de modifier les marque-pages du navigateur.
8. histoire : permet à l'extension d'accéder et de modifier l'historique du navigateur.
9. notifications: Permet à l'extension d'afficher des notifications sur le bureau.
10. contextMenus: Permet à l'extension d'ajouter des éléments de menu personnalisés au menu contextuel du navigateur (menu clic-droit).
11. géolocalisation: Permet à l'extension d'accéder aux informations de localisation géographique de l'utilisateur.
12. clipboardRead et clipboardWrite : Permet à l'extension de lire depuis et d'écrire dans le presse-papiers.
13. téléchargements: permet à l'extension de gérer les téléchargements, y compris le démarrage, la pause et l'annulation des téléchargements.
14. gestion : Permet à l'extension de gérer d'autres extensions et applications dans le navigateur.
15. arrière-plan : permet à l'extension d'exécuter des tâches de longue durée en arrière-plan.
16. notifications: Permet à l'extension d'afficher des notifications système.
17. webNavigation: Permet à l'extension de surveiller et de modifier le comportement de navigation du navigateur.

Ces autorisations permettent aux extensions Chrome d'effectuer de nombreuses fonctions puissantes et diverses, mais elles signifient également que les extensions peuvent accéder à des données sensibles de l'utilisateur telles que les cookies, les informations d'authentification, et plus encore.

4. Pourquoi les extensions Chrome malveillantes peuvent-elles voler les permissions des utilisateurs?

Les extensions malveillantes de Chrome peuvent exploiter les autorisations demandées pour voler les informations d'identification et d'authentification des utilisateurs, car ces extensions ont un accès direct à l'environnement et aux données du navigateur de l'utilisateur et peuvent les manipuler.

1. Accès étendu : les extensions malveillantes demandent souvent des autorisations étendues telles que l'accès à tous les sites web (<all_urls>), la lecture et la modification des onglets du navigateur (tabs) et l'accès au stockage du navigateur (storage). Ces autorisations permettent aux extensions malveillantes d'accéder largement aux activités de navigation et aux données des utilisateurs.
2. Manipulation des requêtes réseau: les extensions malveillantes peuvent utiliser les autorisations webRequest et webRequestBlocking pour intercepter et modifier les requêtes réseau, volant ainsi les informations d'authentification et les données sensibles des utilisateurs. Par exemple, elles peuvent intercepter les données de formulaire lorsque les utilisateurs se connectent à des sites Web pour obtenir des noms d'utilisateur et des mots de passe.
3. Lecture et écriture du contenu de la page : Grâce aux scripts de contenu, les extensions malveillantes peuvent intégrer du code dans les pages web pour lire et modifier le contenu de la page. Cela signifie qu'elles peuvent voler toutes les données saisies par les utilisateurs sur les pages web, telles que les informations de formulaire et les requêtes de recherche.
4. Accès au stockage du navigateur : les extensions malveillantes peuvent utiliser les autorisations de stockage pour accéder et stocker les données locales des utilisateurs, y compris le stockage du navigateur qui peut contenir des informations sensibles (telles que LocalStorage et IndexedDB).
5. Manipulation du presse-papiers : Avec les autorisations clipboardRead et clipboardWrite, les extensions malveillantes peuvent lire et écrire le contenu du presse-papiers des utilisateurs, volant ainsi ou altérant les informations copiées et collées par les utilisateurs.
6. Se faisant passer pour des sites légitimes : les extensions malveillantes peuvent se faire passer pour des sites légitimes en modifiant le contenu du navigateur ou en redirigeant les utilisateurs vers des pages falsifiées, trompant ainsi les utilisateurs pour qu'ils saisissent des informations sensibles.
7. Fonctionnement en arrière-plan pendant de longues périodes: Les extensions malveillantes avec des autorisations en arrière-plan peuvent s'exécuter en continu en arrière-plan, même lorsque les utilisateurs ne les utilisent pas activement. Cela leur permet de surveiller les activités des utilisateurs pendant de longues périodes et de collecter de grandes quantités de données.
8. Manipulation des téléchargements: En utilisant les autorisations de téléchargement, les extensions malveillantes peuvent télécharger et exécuter des fichiers malveillants, compromettant davantage la sécurité du système de l'utilisateur.

5. Pourquoi les victimes de cette extension malveillante se sont-elles fait voler leurs autorisations et compromettre leurs fonds ?

Parce que cette extension malveillante Aggr a réussi à obtenir les informations de fond dont nous venons de discuter, voici un extrait de la section des autorisations de son fichier manifest.json :

1. des cookies
2. onglets
3. <all_urls>
4. stockage

6. Que peut faire une extension Chrome malveillante après avoir volé les cookies des utilisateurs ?

1. Accès aux comptes: Les extensions malveillantes peuvent utiliser des cookies volés pour simuler la connexion de l'utilisateur aux plateformes de trading de cryptomonnaies, ce qui leur permet d'accéder aux informations du compte des utilisateurs, y compris les soldes et l'historique des transactions.
2. Effectuer des transactions : les cookies volés peuvent permettre aux extensions malveillantes d'effectuer des transactions sans le consentement de l'utilisateur, d'acheter ou de vendre des crypto-monnaies, ou de transférer des actifs vers d'autres comptes.
3. Retrait de fonds : si les cookies contiennent des informations de session et des jetons d’authentification, les extensions malveillantes peuvent contourner l’authentification à deux facteurs (2FA) et initier des retraits de fonds, transférant les crypto-monnaies des utilisateurs vers des portefeuilles contrôlés par des attaquants.
4. Accès aux informations sensibles : les extensions malveillantes peuvent accéder et collecter des informations sensibles dans les comptes de plateforme de trading des utilisateurs, telles que des documents d'authentification et des adresses, potentiellement utilisées pour d'autres vols d'identité ou activités frauduleuses.
5. Modification des paramètres du compte: les extensions malveillantes peuvent modifier les paramètres du compte des utilisateurs, tels que les adresses e-mail et les numéros de téléphone liés, contrôlant ainsi davantage les comptes et volant plus d'informations.
6. Usurper l'identité d'utilisateurs pour des attaques d'ingénierie sociale : Utiliser des comptes d'utilisateurs pour des attaques d'ingénierie sociale, telles que l'envoi de messages frauduleux aux contacts des utilisateurs, les inciter à effectuer des opérations non sécurisées ou fournir des informations plus sensibles.

Réponses

En voyant cela, de nombreux utilisateurs peuvent se demander : “Que dois-je faire ? Devrais-je simplement me déconnecter d'Internet et cesser de l'utiliser complètement ? Devrais-je utiliser un ordinateur séparé pour les opérations ? Devrais-je éviter de me connecter aux plateformes via les pages web ?” Il existe de nombreuses suggestions extrêmes en ligne, mais en réalité, nous pouvons apprendre comment prévenir de manière raisonnable de tels risques :

Mesures d'atténuation des utilisateurs personnels :

1. Renforcer la sensibilité à la sécurité personnelle : La première suggestion préventive est de renforcer la sensibilité à la sécurité personnelle et de maintenir en permanence une attitude sceptique.
2. Installez des extensions uniquement à partir de sources fiables : installez des extensions depuis le Chrome Web Store ou d'autres sources fiables, lisez les avis des utilisateurs et les demandes d'autorisation, et évitez d'accorder des autorisations d'accès inutiles aux extensions.
3. Utilisez un environnement de navigation sécurisé : Évitez d'installer des extensions à partir de sources inconnues, passez régulièrement en revue et supprimez les extensions inutiles, envisagez d'utiliser différents navigateurs pour isoler la navigation des plugins et la navigation des transactions de fonds.
4. Surveiller régulièrement l'activité du compte : Vérifiez régulièrement les activités de connexion au compte et les relevés de transactions, et prenez immédiatement des mesures en cas de comportement suspect.
5. N'oubliez pas de vous déconnecter: N'oubliez pas de vous déconnecter après avoir utilisé des plateformes Web. Beaucoup de gens ont tendance à ignorer le clic sur "se déconnecter" après avoir effectué des opérations sur une plateforme pour plus de commodité, ce qui présente des risques de sécurité.
6. Utilisez des portefeuilles matériels : Pour les gros actifs, utilisez des portefeuilles matériels pour le stockage afin d'améliorer la sécurité.
7. Paramètres du navigateur et outils de sécurité : Utilisez des paramètres de navigateur sécurisés et des extensions (comme des bloqueurs de publicités et des outils de protection de la vie privée) pour réduire le risque d'extensions malveillantes.
8. Utilisez un logiciel de sécurité : installez et utilisez un logiciel de sécurité pour détecter et prévenir les extensions malveillantes et autres logiciels malveillants.

Recommandations finales de contrôle des risques pour les plateformes : En mettant en œuvre ces mesures, les plateformes de trading peuvent réduire les risques de sécurité posés par les extensions Chrome malveillantes aux utilisateurs :

Mettre en œuvre l'utilisation de l'authentification à deux facteurs (2FA) :

• Activer la 2FA au niveau mondial: Exiger que tous les utilisateurs activent l'authentification à deux facteurs (2FA) pour la connexion et les opérations importantes (telles que le trading, la passation d'ordres et les retraits de fonds), garantissant que même si les cookies d'un utilisateur sont volés, les attaquants ne peuvent pas accéder facilement au compte.

• Méthodes d'authentification multiples : Prise en charge de plusieurs méthodes d'authentification à deux facteurs telles que SMS, e-mail, Google Authenticator et jetons matériels.

Gestion de session et sécurité:

• Gestion des appareils : Fournissez aux utilisateurs la possibilité de consulter et de gérer les appareils connectés, leur permettant de se déconnecter des sessions à partir d'appareils non reconnus à tout moment.

• Expiration de session : Mettre en œuvre des politiques d'expiration de session pour déconnecter automatiquement les sessions inactives, réduisant le risque de détournement de session.

• Surveillance de l'adresse IP et de la géolocalisation : Détectez et avertissez les utilisateurs des tentatives de connexion à partir d'adresses IP ou de géolocalisations inhabituelles, et bloquez ces connexions si nécessaire.

Améliorer les paramètres de sécurité du compte :

• Notifications de sécurité : Informez rapidement les utilisateurs des actions importantes telles que les connexions au compte, les changements de mot de passe et les retraits de fonds via e-mail ou SMS pour alerter les utilisateurs des activités suspectes.

• Fonction de gel de compte : Fournir une option aux utilisateurs pour geler rapidement leurs comptes en cas d'urgence afin de contrôler les dommages.

Renforcer les systèmes de surveillance et de contrôle des risques:

• Détection des comportements anormaux : utilisez l'apprentissage automatique et l'analyse de données volumineuses pour surveiller le comportement des utilisateurs, identifier les modèles de trading anormaux et les activités des comptes, et intervenir rapidement dans le contrôle des risques.

• Avertissements de risque: alerte et restreindre les activités suspectes telles que les changements fréquents dans les informations de compte ou les tentatives de connexion échouées fréquentes.

Fournir une éducation à la sécurité et des outils pour les utilisateurs :

• Éducation à la sécurité : Diffuser les connaissances en matière de sécurité aux utilisateurs via des comptes de médias sociaux officiels, des e-mails, des notifications de plateforme, etc., sensibilisant aux risques des extensions de navigateur et à la manière de protéger leurs comptes.

• Outils de sécurité : Fournir des extensions de navigateur officielles pour aider les utilisateurs à renforcer la sécurité de leur compte, et détecter et alerter les utilisateurs sur les menaces potentielles à la sécurité.

Conclusion

Pour être franc, d'un point de vue technique, la mise en œuvre des mesures de contrôle des risques mentionnées plus tôt n'est pas toujours la meilleure approche. Équilibrer la sécurité et les besoins commerciaux est crucial ; mettre trop l'accent sur la sécurité peut dégrader l'expérience utilisateur. Par exemple, exiger une authentification à deux facteurs lors de la passation d'une commande pourrait amener de nombreux utilisateurs à la désactiver pour des transactions plus rapides. Cette commodité pour les utilisateurs bénéficie également aux pirates informatiques, car des cookies volés pourraient leur permettre de manipuler les échanges et de compromettre les actifs des utilisateurs. Par conséquent, différentes plateformes et utilisateurs peuvent nécessiter des approches variées en matière de gestion des risques. Trouver l'équilibre entre la sécurité et les objectifs commerciaux varie selon la plateforme, et il est crucial que les plateformes prioritent à la fois l'expérience utilisateur et la sauvegarde des comptes et des actifs des utilisateurs.

Clause de non-responsabilité：

1. Cet article est repris de [PANews]. Tous les droits d'auteur appartiennent à l'auteur original [Technologie Slow Mist]. S'il y a des objections à cette republication, veuillez contacter le Gate Learnl'équipe, et ils s'en occuperont rapidement.
2. Avertissement de responsabilité: Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont réalisées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.