百度阿里騰訊在列水坑攻擊利用JSONP劫持跟蹤用戶

你可以想象一下，假如一個(gè)專制國家得到了一種能夠獲取用戶個(gè)人隱私信息的工具，而且這種工具能夠獲取用戶在特定網(wǎng)站上的真實(shí)姓名，郵箱地址，性別，生日和手機(jī)號碼等等，那會是個(gè)什么樣的場景？你還可以想象一下，專制政府甚至可以通過這種技術(shù)，來監(jiān)視或阻止用戶通過TOR或VPN鏈接來繞過這種工具的控制。

至少從2021年10月起，水坑攻擊便以非政府組織，維吾爾族群體以及伊斯蘭民族的網(wǎng)站為攻擊目標(biāo)進(jìn)行了大量的攻擊。在這篇文章中，我們將會對這一系列包括近期所檢測到的攻擊在內(nèi)的水坑攻擊進(jìn)行具體描述。在這里，我們要感謝SumayahAlrwais，他是印第安納大學(xué)系統(tǒng)安全實(shí)驗(yàn)室的一名博士研究生，正是他在RSA實(shí)驗(yàn)室中發(fā)現(xiàn)了這種很新的水坑攻擊，并提醒了我們該攻擊正在影響中國的各大國際性非政府組織的網(wǎng)站。

水坑攻擊

水坑攻擊是一種黑客技術(shù)，假如一個(gè)黑客想要攻擊一個(gè)特定的組織(公司，企業(yè)，少數(shù)民族團(tuán)體等等)，便可以使用這種技術(shù)來實(shí)現(xiàn)攻擊。攻擊者首先入侵目標(biāo)組織的官方網(wǎng)站，然后將惡意代碼注入至網(wǎng)站之中，當(dāng)用戶訪問受感染的網(wǎng)站時(shí)，惡意代碼將會被執(zhí)行。

通常情況下，攻擊者可以通過惡意服務(wù)器，然后利用IE瀏覽器，Java插件，或者Flash播放器的漏洞來導(dǎo)入一個(gè)iframe或者一個(gè)JavaScript腳本文件，很終獲取目標(biāo)主機(jī)系統(tǒng)的訪問權(quán)限。

我們對一些在過去所發(fā)生的攻擊事件進(jìn)行了記錄和研究，下面是一些攻擊示例：

lJust?another?water?hole?campaign?using?an?Internet?Explorer?0day

lU.S.?Department?of?Labor?website?hacked?and?redirecting?to?malicious?code

在其他情況下，我們還發(fā)現(xiàn)，在有的水坑攻擊中，黑客還使用了勘查技術(shù)來提取安裝在目標(biāo)主機(jī)設(shè)備中的軟件信息，甚至使用了JavaScript鍵盤記錄腳本來竊取用戶的賬戶憑證等數(shù)據(jù)：

lAttackers?abusing?Internet?Explorer?to?enumerate?software?and?detect?security?products

lScanbox:?A?Reconnaissance?Framework?Used?with?Watering?Hole?Attacks

除此之外，這已經(jīng)不是我們第一次記錄到針對中國維吾爾族的網(wǎng)絡(luò)間諜行動(dòng)了：

lCyber?espionage?campaign?against?the?Uyghur?community,?targeting?MacOSX?systems

lNew?MaControl?variant?targeting?Uyghur?users,?the?Windows?version?using?Gh0st?RAT

lLatest?Adobe?PDF?exploit?used?to?target?Uyghur?and?Tibetan?activists

我們所描述的很新攻擊是一種新奇的技術(shù)，而且我們之前從未在水坑攻擊中見過此類技術(shù)。接下來我們會具體描述其工作原理：

l?攻擊者入侵與非政府組織，維吾爾族團(tuán)體，以及伊斯蘭協(xié)會有聯(lián)系的中文網(wǎng)站。

l?在入侵成功之后，攻擊者會修改網(wǎng)站的內(nèi)容，并且通過惡意服務(wù)器來導(dǎo)入一個(gè)JavaScript腳本文件。

l?這個(gè)JavaScript腳本文件會利用JSONP劫持漏洞，這種漏洞存在于15個(gè)不同的大型中文網(wǎng)站之中，包括中國用戶所廣泛使用的五大門戶網(wǎng)站。(詳情請看下表)

l?假如用戶登錄了其中一個(gè)被入侵的網(wǎng)站，或使用了網(wǎng)站所提供的受感染的服務(wù)，那么通過使用JSONP請求，攻擊者便能夠繞過跨域請求機(jī)制，并且能夠收集到用戶的個(gè)人隱私信息。

l?然后，JavaScript腳本代碼便會將用戶的隱私數(shù)據(jù)傳輸?shù)揭粋€(gè)由攻擊者控制的服務(wù)器中。

當(dāng)我們開始寫這篇文章的時(shí)候，我們并沒預(yù)備將受影響的網(wǎng)站公布出來。然而，經(jīng)過了一系列的調(diào)查和研究之后，我們發(fā)現(xiàn)這種同樣的漏洞已經(jīng)在2021年就被公布出來了！?

漏洞的詳情可以在一篇中文的安全博文和幾大中文安全論壇中找到。

為了讓大家清楚該問題的嚴(yán)重性，我們將向大家展示受影響網(wǎng)站的Alexa評級名單，攻擊者可以竊取這些網(wǎng)站中的用戶隱私數(shù)據(jù)：

攻擊分析

JSONP是一種廣泛使用的技術(shù)，它可以通過發(fā)起JavaScript的跨域請求來繞過同源策略。然而，繞過同源策略會導(dǎo)致不同源或域之間的數(shù)據(jù)泄漏。而且，尤其是當(dāng)JSONP涉及到了用戶的數(shù)據(jù)信息時(shí)，這樣是極其危險(xiǎn)的。既然JSONP請求/回應(yīng)能夠繞過同源策略，那么惡意網(wǎng)站便能夠通過這種機(jī)制，讓目標(biāo)主機(jī)發(fā)起跨域JSONP請求，并使用”腳本”標(biāo)簽來讀取用戶的隱私數(shù)據(jù)。

下面，我們向大家介紹一個(gè)例子，這是在一個(gè)水坑攻擊中發(fā)現(xiàn)的一個(gè)惡意JavaScript腳本，我們對其還進(jìn)行了分析和研究。

首先，惡意JavaScript腳本會向一個(gè)有漏洞的服務(wù)器發(fā)起一個(gè)帶有標(biāo)簽的JSONP請求。代碼如下，腳本請求了renren_all的函數(shù)調(diào)用：

含有漏洞的網(wǎng)站會以下列內(nèi)容往返應(yīng)請求：

當(dāng)瀏覽器收到數(shù)據(jù)之后，它會調(diào)用renren_all回調(diào)函數(shù)，該功能函數(shù)會將用戶的個(gè)人數(shù)據(jù)發(fā)送至一個(gè)由攻擊者控制的服務(wù)器中，這些數(shù)據(jù)包括用戶的性別，生日，真實(shí)姓名以及ID號等等。

在發(fā)送完了所有的JSONP請求之后，惡意JavaScript腳本會將數(shù)據(jù)發(fā)送至一個(gè)由攻擊者控制的服務(wù)器中：

除此之外，我們還發(fā)現(xiàn)在其中一個(gè)惡意JavaScript腳本文件內(nèi)，包含有能夠返回用戶的公共地址以及私人地址信息的代碼，這些腳本使用了帶有震網(wǎng)病毒的WebRTC技術(shù)，詳情請點(diǎn)擊這里。

安全建議

名單中列出的受影響網(wǎng)站(百度，淘寶等網(wǎng)站)應(yīng)當(dāng)立即修復(fù)JSONP劫持漏洞。下面是一些修復(fù)該漏洞的方法：

－在所有的JSONP請求中引入一個(gè)隨機(jī)值(這樣同樣能夠預(yù)防CSRF攻擊)

－使用CORS來代替JSONP

－不要使用cookies來自定義JSONP響應(yīng)

－在JSONP響應(yīng)中不要加入用戶的個(gè)人數(shù)據(jù)

*作者：懶懶dě-nms，轉(zhuǎn)載須注明來自FreeBuf黑客與極客（FreeBuf.COM）

該文章由WP-AutoPost插件自動(dòng)采集發(fā)布

原文地址:bluereader.org/article/49587838