Une nouvelle attaque appelée « Détournement de synchronisation de navigateur » démontre la possibilité d’utiliser une extension Chrome apparemment bénigne pour prendre le contrôle de l’appareil d’une victime.
La nouvelle méthode d’attaque, découverte par les chercheurs en sécurité de SquareX, implique plusieurs étapes, notamment le détournement de profil Google, le détournement de navigateur et, éventuellement, la prise de contrôle de l’appareil.
Malgré le processus en plusieurs étapes, l’attaque est furtive, nécessite des autorisations minimales et presque aucune interaction de la victime autre que l’installation de ce qui semble être une extension Chrome légitime.
Phases de détournement de synchronisation
L’attaque commence par la création d’un domaine Google Workspace malveillant dans lequel l’attaquant configure plusieurs profils d’utilisateurs avec des fonctionnalités de sécurité telles que l’authentification multifacteur désactivée. Ce domaine d’espace de travail sera utilisé en arrière-plan pour créer un profil géré sur l’appareil de la victime.
Une extension de navigateur, conçue pour apparaître comme un outil utile doté de fonctionnalités légitimes, est ensuite publiée sur le Chrome Web Store.
À l’aide de l’ingénierie sociale, l’attaquant incite la victime à installer l’extension, qui la connecte ensuite discrètement à l’un des profils Google Workspace gérés par l’attaquant dans une fenêtre de navigateur masquée s’exécutant en arrière-plan.
L’extension ouvre ensuite une page d’assistance Google légitime. Comme il dispose de privilèges de lecture et d’écriture sur les pages Web, il injecte du contenu dans la page, indiquant à l’utilisateur d’activer la synchronisation Chrome.
Une fois synchronisées, toutes les données stockées, y compris les mots de passe et l’historique de navigation, deviennent accessibles à l’attaquant, qui peut désormais utiliser le profil compromis sur son propre appareil.
Avec le profil de la victime sous contrôle, l’attaquant se déplace pour prendre le contrôle du navigateur, ce qui, dans la démo Square X, se fait via une fausse mise à jour de Zoom.
Dans le scénario mis en évidence par les chercheurs, une personne peut recevoir une invitation Zoom, et lorsqu’elle clique dessus et accède à la page Web Zoom, l’extension injectera à la place un contenu malveillant indiquant que le client Zoom doit être mis à jour.
Cependant, ce téléchargement est un fichier exécutable contenant un jeton d’inscription, donnant aux attaquants un contrôle total sur le navigateur de la victime.
« Une fois inscrit, l’attaquant acquiert un contrôle total sur le navigateur de la victime, lui permettant d’accéder silencieusement à toutes les applications Web, d’installer des extensions malveillantes supplémentaires, de rediriger les utilisateurs vers des sites de phishing, de surveiller/modifier les téléchargements de fichiers et bien d’autres », explique les chercheurs de SquareX.
En exploitant l’API de messagerie native de Chrome, l’attaquant peut établir un canal de communication direct entre l’extension malveillante et le système d’exploitation de la victime.
Cela leur permet de parcourir les répertoires, de modifier des fichiers, d’installer des logiciels malveillants, d’exécuter des commandes arbitraires, de capturer des frappes au clavier, d’extraire des données sensibles et même d’activer la webcam et le microphone.
Square met en évidence la nature furtive et puissante de l’attaque, soulignant à quel point il serait difficile pour la plupart des utilisateurs de se rendre compte que quelque chose ne va pas.
« Contrairement aux attaques d’extension précédentes qui impliquaient une ingénierie sociale élaborée, les adversaires n’ont besoin que d’autorisations minimales et d’une petite étape d’ingénierie sociale, avec presque aucune interaction de l’utilisateur requise pour exécuter cette attaque », décrit le rapport.
« À moins que la victime ne soit extrêmement paranoïaque en matière de sécurité et qu’elle soit suffisamment avertie techniquement pour naviguer constamment dans les paramètres de Chrome pour rechercher des étiquettes de navigateur gérées, il n’y a aucune indication visuelle réelle qu’un navigateur a été détourné. »
Les extensions Chrome sont souvent perçues comme des risques isolés, mais des événements récents comme une vague de détournements affectant des extensions légitimes utilisées par des millions de personnes ont prouvé le contraire.
Breachtrace a contacté Google au sujet de la nouvelle attaque et mettra à jour notre histoire si nous recevons une réponse.