
Mạn Vụ: Giải đáp về phần mở rộng độc hại trên Chrome đánh cắp một triệu USD
Tuyển chọn TechFlowTuyển chọn TechFlow

Mạn Vụ: Giải đáp về phần mở rộng độc hại trên Chrome đánh cắp một triệu USD
Nền tảng cần chú ý bảo vệ an toàn tài khoản và tài sản của người dùng trong khi xem xét trải nghiệm người dùng.
Tác giả: 23pds@Đội an toàn SlowMist
Bối cảnh
Ngày 3 tháng 6 năm 2024, người dùng Twitter @CryptoNakamao đã đăng bài chia sẻ về việc bị mất 1 triệu USD do tải phải tiện ích mở rộng Chrome độc hại Aggr, khiến cộng đồng tiền mã hóa quan tâm sâu sắc đến rủi ro từ các tiện ích mở rộng và lo ngại về độ an toàn tài sản mã hóa của bản thân. Trước đó vào ngày 31 tháng 5, đội an toàn SlowMist đã phát hành bài viết “Sói đội lốt cừu|Phân tích trộm cắp qua tiện ích Chrome giả mạo”, phân tích chi tiết cách thức hoạt động ác ý của tiện ích Aggr. Do nhiều người dùng thiếu kiến thức nền tảng về tiện ích mở rộng trình duyệt, trong bài viết này, chuyên gia an toàn thông tin trưởng 23pds của SlowMist sẽ giải đáp sáu câu hỏi nhằm làm rõ kiến thức cơ bản và rủi ro tiềm tàng liên quan đến tiện ích mở rộng, đồng thời đưa ra khuyến nghị phòng chống rủi ro, hy vọng giúp người dùng cá nhân và các sàn giao dịch nâng cao khả năng bảo vệ tài khoản và tài sản.
https://x.com/im23pds/status/1797528115897626708
Giải đáp thắc mắc
1. Tiện ích mở rộng Chrome là gì?
Tiện ích mở rộng Chrome (Chrome Extension) là các plugin được thiết kế cho trình duyệt Google Chrome, có khả năng mở rộng chức năng và hành vi của trình duyệt. Chúng có thể tùy chỉnh trải nghiệm duyệt web của người dùng, thêm tính năng hoặc nội dung mới, hoặc tương tác với các trang web. Các tiện ích mở rộng Chrome thường được xây dựng bằng HTML, CSS, JavaScript và các công nghệ web khác.
Cấu trúc của một tiện ích mở rộng Chrome thường bao gồm những phần sau:
-
manifest.json: Tệp cấu hình tiện ích, định nghĩa các thông tin cơ bản như tên, phiên bản, quyền hạn, v.v.
-
Chương trình nền (Background Scripts): Chạy ở chế độ nền trình duyệt, xử lý sự kiện và các nhiệm vụ dài hạn.
-
Chương trình nội dung (Content Scripts): Chạy trong ngữ cảnh trang web, có thể trực tiếp tương tác với trang web.
-
Giao diện người dùng (UI): Ví dụ như nút thanh công cụ trình duyệt, cửa sổ bật lên, trang tùy chọn, v.v.
2. Tiện ích mở rộng Chrome có tác dụng gì?
-
Chặn quảng cáo: Tiện ích có thể chặn và loại bỏ quảng cáo trên trang web, từ đó tăng tốc độ tải trang và cải thiện trải nghiệm người dùng. Ví dụ: AdBlock và uBlock Origin.
-
Bảo mật và riêng tư: Một số tiện ích có thể tăng cường bảo mật và quyền riêng tư cho người dùng, như ngăn theo dõi, mã hóa liên lạc, quản lý mật khẩu. Ví dụ: Privacy Badger và LastPass.
-
Công cụ nâng cao hiệu suất: Tiện ích hỗ trợ người dùng tăng năng suất, như quản lý công việc, ghi chú, theo dõi thời gian. Ví dụ: Todoist và Evernote Web Clipper.
-
Công cụ dành cho nhà phát triển: Cung cấp công cụ gỡ lỗi và phát triển cho lập trình viên web, như xem cấu trúc trang, gỡ lỗi mã, phân tích yêu cầu mạng. Ví dụ: React Developer Tools và Postman.
-
Mạng xã hội và truyền thông: Tiện ích tích hợp công cụ mạng xã hội và nhắn tin, giúp người dùng dễ dàng xử lý thông báo, tin nhắn khi duyệt web. Ví dụ: Grammarly và Facebook Messenger.
-
Tùy chỉnh trang web: Người dùng có thể tùy chỉnh giao diện và hành vi trang web thông qua tiện ích, như thay đổi chủ đề, sắp xếp lại thành phần trang, thêm chức năng bổ sung. Ví dụ: Stylish và Tampermonkey.
-
Tự động hóa tác vụ: Tiện ích hỗ trợ tự động hóa các nhiệm vụ lặp lại, như điền biểu mẫu tự động, tải hàng loạt tập tin. Ví dụ: iMacros và DownThemAll.
-
Dịch thuật ngôn ngữ: Một số tiện ích có thể dịch nội dung trang web theo thời gian thực, giúp người dùng hiểu các trang ngôn ngữ khác nhau, ví dụ như Google Dịch.
-
Hỗ trợ tiền mã hóa: Tiện ích giúp người dùng thuận tiện hơn khi giao dịch tiền mã hóa, ví dụ như MetaMask.
Tính linh hoạt và đa dạng của tiện ích mở rộng Chrome khiến chúng gần như có thể áp dụng trong mọi tình huống duyệt web, giúp người dùng hoàn thành các nhiệm vụ một cách hiệu quả hơn.
3. Sau khi cài đặt, tiện ích mở rộng Chrome có những quyền hạn nào?
Sau khi cài đặt, tiện ích mở rộng Chrome có thể yêu cầu một loạt quyền hạn để thực hiện các chức năng cụ thể. Những quyền hạn này được khai báo trong tệp manifest.json của tiện ích và sẽ được hiển thị để người dùng xác nhận trước khi cài đặt. Các quyền hạn phổ biến bao gồm:
-
<all_urls>: Cho phép tiện ích truy cập nội dung tất cả website. Đây là quyền rất rộng, cho phép đọc và sửa đổi dữ liệu trên mọi trang web.
-
tabs: Cho phép tiện ích truy cập thông tin tab trình duyệt, bao gồm lấy danh sách tab đang mở, tạo và đóng tab.
-
activeTab: Cho phép tiện ích tạm thời truy cập tab hiện tại đang kích hoạt, thường dùng để thực hiện thao tác cụ thể khi người dùng nhấn nút tiện ích.
-
storage: Cho phép tiện ích sử dụng API lưu trữ của Chrome để lưu và truy xuất dữ liệu, có thể dùng để lưu cài đặt tiện ích, dữ liệu người dùng, v.v.
-
cookies: Cho phép tiện ích truy cập và sửa đổi cookies trong trình duyệt.
-
webRequest và webRequestBlocking: Cho phép tiện ích chặn và sửa đổi các yêu cầu mạng. Quyền này thường dùng cho tiện ích chặn quảng cáo và bảo vệ riêng tư.
-
bookmarks: Cho phép tiện ích truy cập và sửa đổi dấu trang trình duyệt.
-
history: Cho phép tiện ích truy cập và sửa đổi lịch sử duyệt web.
-
notifications: Cho phép tiện ích hiển thị thông báo trên màn hình desktop.
-
contextMenus: Cho phép tiện ích thêm mục menu tùy chỉnh vào menu ngữ cảnh (menu chuột phải).
-
geolocation: Cho phép tiện ích truy cập thông tin vị trí địa lý của người dùng.
-
clipboardRead và clipboardWrite: Cho phép tiện ích đọc và ghi vào bộ nhớ đệm (clipboard).
-
downloads: Cho phép tiện ích quản lý việc tải xuống, bao gồm bắt đầu, tạm dừng và hủy tải.
-
management: Cho phép tiện ích quản lý các tiện ích và ứng dụng khác trên trình duyệt.
-
background: Cho phép tiện ích chạy các nhiệm vụ dài hạn ở chế độ nền.
-
notifications: Cho phép tiện ích hiển thị thông báo hệ thống.
-
webNavigation: Cho phép tiện ích theo dõi và sửa đổi hành vi điều hướng của trình duyệt.
Những quyền hạn này cho phép tiện ích Chrome thực hiện nhiều chức năng mạnh mẽ và đa dạng, nhưng cũng đồng nghĩa rằng chúng có thể truy cập dữ liệu nhạy cảm của người dùng như cookies, thông tin xác thực, v.v.
4. Vì sao tiện ích Chrome độc hại có thể đánh cắp quyền người dùng?
Tiện ích Chrome độc hại có thể lợi dụng các quyền hạn được yêu cầu để đánh cắp quyền và thông tin xác thực của người dùng, vì chúng có thể truy cập và thao tác trực tiếp vào môi trường và dữ liệu trình duyệt. Cụ thể như sau:
-
Quyền truy cập rộng rãi: Tiện ích độc hại thường yêu cầu rất nhiều quyền, ví dụ như truy cập tất cả website (<all_urls>), đọc và sửa đổi tab trình duyệt (tabs), truy cập bộ nhớ trình duyệt (storage), v.v., cho phép chúng quét toàn bộ hoạt động và dữ liệu duyệt web của người dùng.
-
Thao tác yêu cầu mạng: Tiện ích độc hại có thể dùng quyền webRequest và webRequestBlocking để chặn và sửa đổi các yêu cầu mạng, từ đó đánh cắp thông tin xác thực và dữ liệu nhạy cảm. Ví dụ, chúng có thể chặn dữ liệu biểu mẫu khi người dùng đăng nhập, thu thập tên đăng nhập và mật khẩu.
-
Đọc và ghi nội dung trang: Thông qua content scripts, tiện ích độc hại có thể nhúng mã vào trang web để đọc và sửa đổi nội dung, nghĩa là chúng có thể đánh cắp bất kỳ dữ liệu nào người dùng nhập trên trang, như biểu mẫu, truy vấn tìm kiếm, v.v.
-
Truy cập bộ nhớ trình duyệt: Tiện ích độc hại có thể dùng quyền storage để truy cập và lưu trữ dữ liệu cục bộ của người dùng, bao gồm cả dữ liệu nhạy cảm trong LocalStorage và IndexedDB.
-
Thao tác clipboard: Với quyền clipboardRead và clipboardWrite, tiện ích độc hại có thể đọc và ghi nội dung clipboard, từ đó đánh cắp hoặc sửa đổi thông tin mà người dùng sao chép dán.
-
Giả mạo trang web hợp pháp: Tiện ích độc hại có thể sửa đổi nội dung trình duyệt hoặc chuyển hướng người dùng tới trang web giả mạo, dụ dỗ họ nhập thông tin nhạy cảm.
-
Chạy nền lâu dài: Tiện ích độc hại có quyền background có thể chạy liên tục ở chế độ nền, ngay cả khi người dùng không sử dụng, giúp chúng theo dõi hoạt động và thu thập dữ liệu trong thời gian dài.
-
Thao tác tải xuống: Dùng quyền downloads, tiện ích độc hại có thể tải và thực thi tập tin độc hại, gây thêm tổn hại đến hệ thống người dùng.
5. Vì sao nạn nhân của tiện ích độc hại lần này lại bị đánh cắp quyền và mất tài sản?
Vì tiện ích Aggr độc hại lần này vừa hay sở hữu tất cả các quyền đã nói ở trên. Dưới đây là đoạn nội dung permissions trong tệp manifest.json của tiện ích độc hại này:
-
cookies
-
tabs
-
<all_urls>
-
storage

6. Sau khi tiện ích Chrome độc hại đánh cắp cookies của người dùng, chúng có thể thực hiện những thao tác gì?
-
Truy cập tài khoản: Tiện ích độc hại có thể dùng cookies bị đánh cắp để mô phỏng đăng nhập vào tài khoản sàn giao dịch, từ đó truy cập thông tin tài khoản người dùng như số dư, lịch sử giao dịch, v.v.
-
Thực hiện giao dịch: Cookies bị đánh cắp có thể cho phép tiện ích độc hại thực hiện giao dịch mà không cần sự đồng ý của người dùng, mua bán tiền mã hóa hoặc thậm chí chuyển tài sản sang tài khoản khác.
-
Rút tiền: Nếu cookies chứa thông tin phiên và token xác thực, tiện ích độc hại có thể vượt qua xác thực hai yếu tố (2FA), trực tiếp khởi tạo lệnh rút tiền, chuyển tiền mã hóa của người dùng vào ví do kẻ tấn công kiểm soát.
-
Truy cập thông tin nhạy cảm: Tiện ích độc hại có thể thu thập thông tin nhạy cảm trong tài khoản sàn giao dịch như giấy tờ xác minh danh tính, địa chỉ, v.v., dùng cho các hoạt động ăn cắp danh tính hoặc lừa đảo tiếp theo.
-
Thay đổi cài đặt tài khoản: Tiện ích độc hại có thể thay đổi cài đặt tài khoản như email, số điện thoại liên kết, nhằm tăng quyền kiểm soát tài khoản và đánh cắp thêm thông tin.
-
Giả danh người dùng để tấn công xã hội: Sử dụng tài khoản người dùng để thực hiện tấn công xã hội, như gửi tin nhắn lừa đảo tới liên hệ của họ, dụ dỗ họ thực hiện thao tác không an toàn hoặc cung cấp thêm thông tin nhạy cảm.
Biện pháp đối phó
Đọc đến đây, nhiều người dùng có thể nghĩ: vậy thì phải làm sao, ngắt mạng luôn thôi? Dùng máy tính riêng biệt? Không đăng nhập sàn qua trình duyệt nữa? Trên mạng xuất hiện nhiều lời khuyên cực đoan kiểu "đánh chết tất cả", nhưng thực tế ta có thể học cách phòng ngừa hợp lý:
Biện pháp cho người dùng cá nhân:
-
Tăng cường ý thức an toàn: Biện pháp đầu tiên là nâng cao cảnh giác, luôn giữ thái độ nghi ngờ.
-
Chỉ cài tiện ích từ nguồn đáng tin cậy: Cài tiện ích từ Chrome Web Store hoặc các nguồn tin cậy khác, đọc kỹ đánh giá người dùng và quyền hạn yêu cầu, tránh cấp quyền truy cập không cần thiết.
-
Sử dụng môi trường trình duyệt an toàn: Tránh cài tiện ích nguồn gốc không rõ ràng, thường xuyên kiểm tra và gỡ bỏ tiện ích không cần thiết, dùng nhiều trình duyệt riêng biệt để tách rời trình duyệt dùng plugin và trình duyệt dùng để giao dịch tài chính.
-
Kiểm tra hoạt động tài khoản thường xuyên: Thường xuyên kiểm tra lịch sử đăng nhập và giao dịch, phát hiện hành vi đáng ngờ thì xử lý ngay.
-
Nhớ đăng xuất sau khi dùng xong: Sau khi hoàn tất thao tác trên nền tảng web, hãy nhớ nhấn đăng xuất. Nhiều người vì tiện lợi mà không đăng xuất sau khi thao tác xong, thói quen này tiềm ẩn rủi ro an toàn.
-
Sử dụng ví phần cứng: Với tài sản lớn, nên dùng ví phần cứng để lưu trữ, tăng độ an toàn.
-
Cài đặt trình duyệt và công cụ an toàn: Sử dụng các thiết lập trình duyệt an toàn và tiện ích (như chặn quảng cáo, công cụ bảo vệ riêng tư) để giảm rủi ro từ tiện ích độc hại.
-
Sử dụng phần mềm an toàn: Cài đặt và sử dụng phần mềm an toàn để phát hiện và ngăn chặn tiện ích độc hại cùng các phần mềm ác ý khác.
Cuối cùng là khuyến nghị kiểm soát rủi ro dành cho các sàn giao dịch – thông qua những biện pháp sau, các sàn có thể giảm thiểu rủi ro an toàn do tiện ích Chrome độc hại gây ra cho người dùng:
Bắt buộc dùng xác thực hai bước (2FA):
-
Bật 2FA toàn hệ thống: Yêu cầu tất cả người dùng bật xác thực hai bước khi đăng nhập và thực hiện các thao tác quan trọng như giao dịch, đặt lệnh, rút tiền, đảm bảo rằng ngay cả khi cookies bị đánh cắp, kẻ tấn công cũng không dễ dàng truy cập tài khoản.
-
Hỗ trợ nhiều phương thức xác thực: Cung cấp nhiều lựa chọn như tin nhắn SMS, email, Google Authenticator, token phần cứng, v.v.
Quản lý và bảo mật phiên (session):
-
Quản lý thiết bị: Cung cấp chức năng để người dùng xem và quản lý các thiết bị đã đăng nhập, cho phép họ đăng xuất khỏi các thiết bị lạ bất cứ lúc nào.
-
Hết hạn phiên: Áp dụng chiến lược hết hạn phiên, tự động đăng xuất các phiên không hoạt động lâu, giảm rủi ro bị chiếm dụng.
-
Giám sát IP và vị trí địa lý: Phát hiện và cảnh báo người dùng về các lần đăng nhập từ địa chỉ IP hoặc vị trí địa lý bất thường, và nếu cần thì chặn các lần đăng nhập này.
Tăng cường cài đặt bảo mật tài khoản:
-
Thông báo an toàn: Gửi ngay lập tức thông báo về các thao tác quan trọng như đăng nhập, thay đổi mật khẩu, rút tiền qua email hoặc SMS để cảnh báo người dùng về hoạt động bất thường.
-
Tính năng khóa tài khoản khẩn cấp: Cung cấp tùy chọn để người dùng nhanh chóng khóa tài khoản trong trường hợp khẩn cấp, hạn chế phạm vi thiệt hại.
Tăng cường giám sát và hệ thống kiểm soát rủi ro:
-
Phát hiện hành vi bất thường: Sử dụng học máy và phân tích dữ liệu lớn để giám sát hành vi người dùng, nhận diện mẫu giao dịch và hoạt động tài khoản bất thường, can thiệp kiểm soát rủi ro kịp thời.
-
Cảnh báo rủi ro: Cảnh báo và giới hạn các hành vi đáng ngờ như thay đổi thông tin tài khoản liên tục, nhiều lần đăng nhập thất bại.
Cung cấp giáo dục an toàn và công cụ cho người dùng:
-
Giáo dục an toàn: Thông qua tài khoản mạng xã hội chính thức, email, thông báo trong nền tảng, v.v. để phổ biến kiến thức an toàn, nhắc nhở người dùng về rủi ro từ tiện ích trình duyệt và cách bảo vệ tài khoản.
-
Công cụ an toàn: Cung cấp plugin hoặc tiện ích mở rộng chính thức giúp người dùng tăng cường bảo mật tài khoản, phát hiện và cảnh báo các mối đe dọa an toàn tiềm tàng.
Kết luận
Thành thật mà nói, xét về mặt kỹ thuật, việc thực hiện tất cả các biện pháp kiểm soát rủi ro như trên chưa chắc đã là cách tốt nhất. An toàn và hoạt động kinh doanh cần được cân bằng – nếu quá nặng về an toàn sẽ ảnh hưởng đến trải nghiệm người dùng. Ví dụ, mỗi lần đặt lệnh đều yêu cầu xác thực hai bước, nhiều người dùng vì muốn nhanh nên tắt luôn! Kết quả là tiện cho mình cũng tiện luôn cho hacker – vì một khi cookies bị đánh cắp, dù không rút được tiền, hacker vẫn có thể thực hiện giao dịch đối xứng (tức là đánh nhanh, thao túng giá), gây thiệt hại tài sản cho người dùng. Do đó, tùy theo từng nền tảng và nhóm người dùng, cách kiểm soát rủi ro cũng khác nhau. Điểm cân bằng giữa an toàn và kinh doanh nằm ở đâu, mỗi nền tảng cần có sự tính toán riêng. Hy vọng rằng khi cân nhắc trải nghiệm người dùng, các nền tảng cũng không quên bảo vệ an toàn tài khoản và tài sản của người dùng.
Lối đi muôn nẻo, an toàn là đầu tiên. Đội an toàn SlowMist khuyến nghị người dùng trước khi cài phần mềm, lao vào coin rác hay cài tiện ích, hãy suy nghĩ 3 giây, tự hỏi điều này đúng không, có an toàn không, rồi mới thao tác, cố gắng tránh để câu chuyện trở thành tai nạn. Để biết thêm kiến thức an toàn, đề nghị đọc cuốn Sổ tay tự cứu trong rừng rậm Blockchain do SlowMist xuất bản.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News









