Peneliti telah mengungkap serangan peramban baru yang membahayakan antarmuka pemrograman aplikasi (API) “pribadi” di Opera yang memberikan kebebasan penuh atas peramban korban.
API peramban menyediakan jembatan antara aplikasi Web dan fungsi peramban termasuk yang terkait dengan:
- Keamanan.
- Penyimpanan.
- Pengoptimalan kinerja.
- Geolokasi dan lainnya.
Yang memungkinkan situs web yang Anda kunjungi untuk menyediakan fitur dan pengalaman yang lebih baik dan lebih tangguh. Sebagian besar API peramban dikenal publik, tersedia untuk semua orang, dan ditinjau secara ketat.
Namun, perusahaan memiliki kebiasaan memberikan izin khusus untuk aplikasi dan situs pilihan mereka sendiri. Peramban Opera, misalnya, menyimpan API “pribadi” untuk beberapa domain pihak ketiga pilihan seperti:
- Instagram.
- Atlassian.
- Yandex
- VK Rusia
- Domain pengembangan internalnya sendiri.
- Domain yang dapat diakses publik dalam versi produksi peramban.
API pribadi ini mungkin berguna bagi pengembang, tetapi para peneliti menunjukkan bagaimana API tersebut juga dapat diakses oleh para peretas, yang memungkinkan para penyerang siber memiliki serangkaian kekuatan yang dapat dibayangkan dari peramban seperti:
- Mengubah pengaturan.
- Membajak akun.
- Menonaktifkan ekstensi keamanan
- Menambahkan ekstensi berbahaya lainnya.
Dan banyak lagi, mereka melakukannya dengan serangan pembuktian konsep bertema anjing yang mereka sebut “CrossBarking.”
Baca juga: Bahaya Website Undian Berhadiah Palsu Kenali Cirinya |
Serangan CrossBarking
Tujuan CrossBarking adalah menjalankan kode berbahaya dalam konteks situs yang memiliki akses ke API pribadi yang kuat tersebut. Untuk melakukannya, seseorang dapat memanfaatkan, misalnya, kerentanan skrip lintas situs (XSS). Atau, yang lebih mudah, ekstensi peramban berbahaya.
Memasukkan ekstensi berbahaya ke Opera bukanlah hal yang mudah. Banyak pengembang mengeluh tentang betapa berlarut-larutnya proses peninjauan manualnya yang dalam beberapa kasus memakan waktu berbulan-bulan atau bahkan bertahun-tahun.
Sisi baiknya adalah kenyamanan yang dinikmati oleh 350 juta pengguna aktif Opera: bahwa ekstensi yang mereka tambahkan ke peramban mereka telah diperiksa dengan baik dan menyeluruh.
Namun, hal itu tidak berlaku untuk ekstensi Chrome yang dapat diunduh oleh pengguna Opera. Add-on Chrome menjalani proses peninjauan yang sebagian besar otomatis, dan dapat ditayangkan hanya dalam hitungan jam atau hari setelah diajukan untuk disetujui.
Jadi, untuk memanfaatkan situs Opera yang istimewa, peneliti mengembangkan ekstensi Chrome, bukan ekstensi Opera. Mereka mendesainnya untuk menambahkan gambar anak anjing ke halaman web, kedok untuk menjalankan skrip di situs mana pun dan menutupi kejahatannya agar disetujui di toko Chrome.
Jika pengguna Opera yang mencintai anak anjing mengadopsi ekstensi tersebut dan mengunjungi situs dengan akses API pribadi, situs tersebut akan melakukan serangan injeksi skrip langsung untuk menjalankan kode berbahaya dan mendapatkan akses ke kekuatan apa pun yang diberikan oleh API pribadi tersebut.
Untuk menunjukkan keluasan penuh kekuatan yang diberikan oleh CrossBarking, peneliti Guardio menargetkan API settingsPrivate, yang memungkinkan untuk membaca dan mengedit pengaturan browser yang tersedia.
Mereka menggunakan settingsPrivate untuk mengubah pengaturan Sistem Nama Domain (DNS) korban hipotetis, menyalurkan semua aktivitas browser mereka melalui server DNS berbahaya. Dari sana, para peneliti memiliki pandangan penuh terhadap aktivitas penjelajahan korban, ditambah kemampuan untuk memanipulasi konten halaman web atau mengarahkan korban ke halaman berbahaya.
Anda hampir dapat mengendalikan seluruh peramban, dan komputer yang menjadi tuan rumahnya. Meskipun PoC-nya difokuskan pada perubahan pengaturan peramban tertentu, dengan cara yang sama, Anda dapat mengubah pengaturan lainnya. Ada lebih banyak API untuk diretas [kami tidak] punya cukup waktu untuk memeriksa semua kemungkinan.
Keamanan vs Fungsionalitas
Dalam pertikaian abadi antara fungsionalitas dan keamanan, pengembang peramban tidak akan mudah melepaskan API khusus yang memberi mereka kekuatan di luar yang diberikan kepada orang kebanyakan.
Itu berlaku untuk Opera, dan peramban lainnya juga. Pada bulan Mei, Guardio menemukan masalah yang tidak jauh berbeda dengan API pribadi yang digunakan untuk pemasaran di peramban Chromium lainnya, Microsoft Edge.
Untuk memperbaiki masalah CrossBarking, Opera tidak menyingkirkan API pribadinya atau kompatibilitas silang ekstensi Chrome-nya. Namun, pada 24 September, mereka mengadopsi semacam solusi perbaikan cepat yang sudah diterapkan di Chrome: memblokir kemampuan ekstensi apa pun untuk menjalankan skrip pada domain dengan akses API pribadi.
Infrastruktur Chromium [sedemikian rupa sehingga] vendor perlu mengendalikan keamanan mereka, dan memikirkan semua kemungkinan vektor serangan yang ada. Ada begitu banyak kemungkinan vektor.
Dalam kasus ini, sekali lagi, itu bahkan tidak ada di toko aplikasi mereka. Opera tidak bertanggung jawab atas Toko Chrome, tetapi mereka mengizinkan ekstensi dari sana, jadi mereka perlu memikirkannya juga. [Mereka harus melihat] seluruh ekosistem, bukan hanya kerentanan ini, untuk mengimbangi ancaman.
Dalam sebuah pernyataan, seorang perwakilan Opera menyatakan bahwa “Pengungkapan yang bertanggung jawab adalah bagian besar dari kerja sama kami yang berkelanjutan dengan para peneliti pihak ketiga ini membantu kami mengidentifikasi kelemahan keamanan dan memperbaikinya sebelum sempat dieksploitasi oleh pelaku kejahatan.
Kami ingin mengucapkan terima kasih atas ketekunan dan kehati-hatian mereka dalam melaporkan masalah ini, dan kami akan meninjau dengan saksama cara fitur aplikasi web diaktifkan di browser untuk menghindari masalah serupa di masa mendatang.
Sumber berita: