Grammarly For Chrome擴展任意用戶劫持漏洞分析及利用

02-16

綜述

2018年02月02日，Grammarly官方更新了Grammarly for Chrome14.826.1446版本，其中修復了一個嚴重漏洞，在此之前的版本中此擴展能夠向所有網站曝光用戶的令牌信息，導致任意網站都可以訪問並修改用戶在Grammarly上的文檔，詞典，訪問歷史，日誌信息，用戶信息等敏感數據。Grammarly官方當日立即修復此漏洞，與2月5日關閉此Bug。
影響版本：≤ 14.826.1446。
攻擊難度：低。

危害程度：高。
官方修復情況如下：目前官方已經發布最新版本14.826.1446

什麼是Grammarly？

Grammarly是一款擁有1000w+用戶的國外廠商開發的語法檢查應用，提供了瀏覽器擴展、網頁版、 Mac版和 Windows 版。如果你使用 Windows，Grammarly 還提供了 Word 插件，下載後可以在Word 內部調用插件直接檢查語法錯誤，我也是Grammarly的忠實用戶之一。

Grammarly可以實現實時語法檢查，你邊寫它就邊改，語法問題和修改意見會以標註的形式顯示在文檔的右側，方便你去一一查看，而且在每條批註下面都會配有詳細的解釋，告訴你哪裡錯了，為什麼要這樣修改。當你出現錯誤的內容可以存入用戶字典或者文檔中。

關於Grammarly的厲害之處請戳：https://youtu.be/wOxVMRwLfjU

漏洞分析

從網路上下載老版本的擴展插件，這裡我們使用最新版之前的一個版本14.825.1439(這裡有所有版本https://www.crx4chrome.com/history/2722/
)，然後解壓插件包，主要代碼都在extension_14_825_1439_0srcjsGrammarly.js文件中，代碼很多，但是主要核心漏洞代碼如下圖所示：

這裡在返回的Message對象中，當返回的數據data.action=user，並且data.Grammarly=true時，調用sendUser()函數，在sendUser()函數中直接將user對象返回了，此user對象中包括了用戶的所有信息，包括email，firstName，grauth等敏感信息，所以導致任意網站都可以通過觸發message事件，通過postMessage操作獲取Grammarly用戶的敏感信息。

因為Grammarly的很多介面登錄認證只需要grauth這個token值就可以直接訪問，所以通過惡意獲取用戶grauth值之後就可以隨意操作用戶的數據信息了。

漏洞驗證及利用

在官方的漏洞詳情中，漏洞作者給出了在瀏覽器console中執行幾行代碼即可觸發漏洞，如下圖所示：

下面來解釋一下這四行代碼的意思：

將當前DOM中的節點元素置為可編輯狀態(默認不可編輯)；
返迴文檔中匹配指定的選擇器組的第一個元素，這裡返回[data-action=」editor」]的節點元素並執行點擊操作；
返回class=gr_-ifr的iframe節點元素對象，再通過contentWindow得到iframe包含頁面的window對象，最後將此對象註冊到一個指定的監聽器上，當該對象觸髮指定的事件message時，回調並執行匿名函數；
通過postMessage觸發時間，並發送用戶數據。

最後控制台上將返回用戶信息中的email和grauth信息，如下圖效果：