書簽同步已經(jīng)成為瀏覽器的一個標(biāo)準(zhǔn)功能，能幫助用戶在某一設(shè)備上對書簽進(jìn)行改動時，也能同步到其他設(shè)備上。然而，研究發(fā)現(xiàn)，這種操作也給網(wǎng)絡(luò)犯罪分子提供了一個便捷的攻擊途徑。

SANS技術(shù)研究所的學(xué)術(shù)研究人員大衛(wèi)·普雷弗（David Prefer）的這一發(fā)現(xiàn)，是對攻擊者如何濫用瀏覽器功能，從被破壞的環(huán)境中偷取數(shù)據(jù)并執(zhí)行其他惡意功能研究的一部分。總的來說，書簽可以被濫用來從企業(yè)環(huán)境中吸走大量被盜數(shù)據(jù)，或者在幾乎不會被發(fā)現(xiàn)的情況下從中部署攻擊工具和惡意有效載荷。

在最近的一篇技術(shù)論文中，普雷弗將這一過程描述為 "bruggling"——瀏覽器和偷渡的諧音。這是一個新穎的數(shù)據(jù)滲出載體，他用一個名為 "Brugglemark "的概念驗證（PoC）PowerShell腳本進(jìn)行了演示。

泄露原理

如果攻擊者已經(jīng)滲透進(jìn)系統(tǒng)環(huán)境中，他們可以從受害用戶那里竊取瀏覽器的同步憑證，或自行創(chuàng)建瀏覽器配置文件，并在另一設(shè)備系統(tǒng)中訪問這些書簽。攻擊者可以使用同樣的技術(shù)將惡意的有效載荷和攻擊工具偷偷帶入一個系統(tǒng)環(huán)境。

在實操層面，普雷弗舉例，即攻擊者可能已經(jīng)破壞了一個企業(yè)環(huán)境并訪問了敏感文件。為了通過書簽同步來滲出數(shù)據(jù)，攻擊者首先需要把數(shù)據(jù)放到可以存儲為書簽的形式中。要做到這一點，攻擊者可以簡單地將數(shù)據(jù)編碼為base64格式，然后將文本分成獨立的小塊，并將每個小塊保存為單獨的書簽。

普雷弗通過反復(fù)試驗發(fā)現(xiàn)，如今的瀏覽器允許將大量字符存儲為單個書簽，實際數(shù)量因瀏覽器不同而存在差異，例如，在使用Brave瀏覽器時，普雷弗發(fā)現(xiàn)他只需使用兩個書簽就可以很快同步整個《勇敢的新世界》（Brave New World ）一書，而用Chrome瀏覽器做同樣的事情需要59個書簽。普雷弗在測試中還發(fā)現(xiàn)，瀏覽器配置文件可以一次同步多達(dá)20萬個書簽。

將文本保存為書簽并同步后，攻擊者需要做的就是從另一臺設(shè)備登錄瀏覽器，訪問、重新組合這些書簽并將其從 base64 解碼回原始文本。

普雷弗表示，在同步過程中沒有利用任何漏洞，主要集中在如何通過書簽同步這一實用功能進(jìn)行惡意濫用。

普雷弗的研究主要集中在瀏覽器市場份額的領(lǐng)導(dǎo)者 Chrome 上，而如 Edge、Brave 和 Opera等其他瀏覽器，它們和 Chrome 都基于同一個開源 Chromium 項目。但他指出，Bruggling 也可能同樣適用于 Firefox 和 Safari 等瀏覽器。

SANS研究所的研究院長約翰內(nèi)斯·烏爾里奇（Johannes Ullrich）認(rèn)為，通過書簽同步的數(shù)據(jù)滲出給了攻擊者一種繞過大多數(shù)基于主機(jī)和網(wǎng)絡(luò)的檢測工具的方法。對大多數(shù)檢測工具來說，這些流量會顯示為谷歌或任何其他瀏覽器的正常同步流量。

值得注意的是，書簽同步可能不是唯一一個能被濫用的功能，普雷弗表示，自動填充、擴(kuò)展、瀏覽器歷史記錄、存儲的密碼、首選項和主題等都可以同步并進(jìn)行濫用，但這些還有待進(jìn)一步的研究。

防范建議

普雷弗建議，企業(yè)組織可以通過使用組策略禁用書簽同步來降低數(shù)據(jù)泄露的風(fēng)險。另一種選擇是限制通過登錄進(jìn)行同步的電子郵箱數(shù)量，攻擊者將無法使用自己的帳戶進(jìn)行同步。此外，瀏覽器廠商可通過基于帳戶年齡或從新地理位置登錄等因素動態(tài)限制書簽同步。類似地，還可以阻止包含 base64 編碼的書簽以及具有過多名稱和 URL 的書簽。

參考來源：https://www.darkreading.com/cloud/chromium-browsers-data-exfiltration-bookmark-syncing