慢雾:简析 MetaMask 钱包 demonic 漏洞
使用过MetaMask版本低于 10.11.3 的用户,如在导入助记词时点击了 Show Secret Recovery Phrase,那么助记词可能泄露了。
2022 年 6 月 16 日,MetaMask(MM)官方公布白帽子发现的一个被称为 demonic vulnerability(恶魔漏洞)的安全问题,漏洞影响的版本 < 10.11.3,由于 MM 的用户体量较大,且基于 MM 进行开发的钱包也比较多,所以这个漏洞的影响面挺大的,因此 MM 也慷慨支付了白帽子 5 万刀的赏金。当团队向我同步了这个漏洞后,我开始着手对这个漏洞进行分析和复现。
漏洞分析
白帽子将这个漏洞命名为 demonic vulnerability,具体的漏洞描述比较复杂,为了让大家更好的理解这个问题,我尽可能用简单的表述来说明这个问题。在使用 MM 浏览器扩展钱包导入助记词时,如果点击 "Show Secret Recovery Phrase" 按钮,浏览器会将输入的完整助记词明文缓存在本地磁盘,这是利用了浏览器本身的机制,即浏览器会将 Tabs 的页面中的 Text 文本从内存保存到本地,以便在使用浏览器的时候可以及时保存页面的状态,用于下次打开页面的时候恢复到之前的页面状态。
基于对这个漏洞的理解,我开始进行漏洞复现,由于 MM 仅对这个漏洞进行简要的描述并不公开漏洞细节,所以在复现的时候遇到了如下的问题:
-
缓存被记录到磁盘中的文件路径未知
-
缓存何时被记录到磁盘未知
为了解决问题 1,我开始对浏览器的缓存目录结构进行分析和测试,发现在使用浏览器 (chrome) 的时候相关的 Tabs 缓存是记录到了如下的目录:
Tabs 缓存路径:
/Users/$(whoami)/Library/Application Support/Google/Chrome/Default/Sessions/
然后继续解决问题 2:Sessions 目录会记录 Tabs 的缓存,为了找出缓存被记录的时间节点,我对导入助记词的整个流程进行了分解,然后在每一步操作之后去观察 Sessions 的数据变化。发现在如下这个页面输入助记词数据后,需要等待 10 – 20s,然后关闭浏览器,明文的助记词信息就会被记录到 Sessions 缓存数据中。
分析结论
用户正常在使用 MM 的时候是将助记词相关的数据放入内存中进行存储,一般认为是相对较为安全的(在早前慢雾的 Hacking Time 中,我发现在用户正常使用 MM 的时候是可以通过 hook 技术将明文的助记词提取出来,仅限于用户电脑被恶意程序控制的情况下可以被利用),但是由于 demonic vulnerability 这个漏洞导致助记词会被缓存到本地磁盘,因此就会有如下的新的利用场景:
-
明文的助记词数据缓存在本地磁盘,可以被其他应用读取,在 PC 电脑中很难保证其他应用程序不去读取 Sessions 缓存文件。
-
明文的助记词数据缓存在本地磁盘,如果磁盘未被加密,可以通过物理接触恢复助记词。比如在类似维修电脑等场景下,当他人对电脑进行物理接触时可以从硬盘中读取助记词数据。
作为普通用户,如果你使用过 MetaMask Version < 10.11.3,且在导入助记词的时候点击了 Show Secret Recovery Phrase,那么你的助记词有可能泄露了,可以参考 MetaMask 的文章对磁盘进行加密并更换钱包迁移数字资产。
作为扩展钱包项目方,如果采用了在 Tabs 页面中以 Text 的方式输入助记词导入钱包,均受到 demonic vulnerability 漏洞的影响,可以参考 MetaMask Version >=10.11.3 的实现,为每个助记词定义单独的输入框,并且输入框的类型为 Password。
原文标题:《MetaMask 浏览器扩展钱包 demonic 漏洞分析》
撰文:Thinking@慢雾安全团队
来源:ForesightNews
比推快讯
更多 >>- 纳指止步4周连跌,创去年11月以来最大单周涨幅
- DAI 单日链上转账金额达到 860 亿美元,创下历史新高
- 以太坊 Rollup 协议 Zircuit 拟于夏季启动主网,总锁仓价值已达25亿美元
- 美参议员警告用于交易儿童性虐待材料的加密活动有所增加
- 加密银行 Custodia Bank 就其美联储成员资格败诉一案提出上诉
- Yuga Labs裁员,专注于建立“更小、更灵活的加密原生团队”
- NFTfi基金会:NFTFI空投申领门户将从 4 月 30 日开放至 6 月 10 日
- dYdX Chain累计交易量突破1200亿美元
- Phoenix Wallet将从美国应用商店下架,Jack Dorsey称“感觉完全没有必要”
- 零知识 (ZK) 协议 Hinkal 完成140 万美元战略融资,估值 7000 万美元
- 姆爷Eminem取代马特·达蒙成为 Crypto.com 最新明星代言人
- 九只现货比特币ETF今日净减持2,987枚BTC,净流出约1.9亿美元
- Yuga Labs 聘请媒体资深人士 Won Kim 担任品牌合作主管
- 一巨鲸从3月1日至4月15日买入近2.5万枚BTC,价值达 16.8 亿美元
- Sam Altman、黄仁勋等科技巨头高管加入美国联邦人工智能安全委员会
- PENDLE 持仓第二巨鲸疑似在持有近一年后卖出 120 万枚 PENDLE ,预计获利 645 万美元
- 福克斯记者:马萨诸塞州参议员候选人John Deaton将提交法庭之友陈述,以支持Coinbase的上诉动议
- Azuki将Azuki #723捐赠给Arbitrum DAO财库
- 链上借贷协议Venus Protocol已于以太坊主网部署DAI市场
- 花旗现预计美联储将于7月降息,2024年共降息100个基点
- 零信任DePIN网络Staex完成战略轮融资,Moonrock Capital参投
- 灰度向Coinbase Prime等地址转入约1811.1枚BTC
- 比特币波动指数昨日降至60.53,日跌幅8.07%
- 美国利率期货合约交易员预计美联储九月首次降息的可能性增加
- 稳定币公司OpenDelta完成250万美元Pre-Seed轮融资
- 美国3月核心PCE物价指数年率2.8%,预期2.7%
- Web3游戏L3E7完成1000万美元融资
- 芝加哥期权交易所拟将数字资产衍生品业务整合到其全球衍生品和结算业务中
- 某鲸鱼地址将3527枚ezETH PT和3300枚ETH存入Zircuit
- Quantix Capital投资NFA Labs 1000万美美元
- Uniswap基金会向Auditless拨款120万美元以创建Protocol Grants Program
- Arthur Hayes:美财长耶伦或将推出天量流动性注入计划,加速加密牛市回归
- RWA协议The Conlony完成新一轮融资,TechStars等参投
- 名义价值93亿美元的BTC与ETH期权即将到期
- Amaranth基金会创始人花费2470万美元购买7814枚ETH
- Vitalik:PoW也相当中心化,PoW只是转向PoS之前的临时阶段
- 中国证监会科技监管司司长、信息中心主任姚前接受审查调查
- 比特币长期持有者已从1月份开始抛售仓位
- PenPad宣布获得加密投资机构Animoca Brands投资
- 富达现货比特币ETF首次录得资金流出
- 华盛证券成为首批虚拟资产现货ETF承销商
- Lava Network发布LAVA代币经济学,6.6%代币将用于API提供者奖励
- Apple工程师辞职构建以太坊Blobspace的衍生品产品
- BNB Chain宣布在BSC区块链中纳入原生流动性质押功能
- Base协议负责人:Base网络上USDC数量仅次于以太坊
- FBI 警告美国人不要使用未经注册的加密货币传输服务
比推专栏
更多 >>观点
项目
比推热门文章
- 纳指止步4周连跌,创去年11月以来最大单周涨幅
- DAI 单日链上转账金额达到 860 亿美元,创下历史新高
- 以太坊 Rollup 协议 Zircuit 拟于夏季启动主网,总锁仓价值已达25亿美元
- 美参议员警告用于交易儿童性虐待材料的加密活动有所增加
- 加密银行 Custodia Bank 就其美联储成员资格败诉一案提出上诉
- Yuga Labs裁员,专注于建立“更小、更灵活的加密原生团队”
- NFTfi基金会:NFTFI空投申领门户将从 4 月 30 日开放至 6 月 10 日
- dYdX Chain累计交易量突破1200亿美元
- Phoenix Wallet将从美国应用商店下架,Jack Dorsey称“感觉完全没有必要”
- 零知识 (ZK) 协议 Hinkal 完成140 万美元战略融资,估值 7000 万美元