近日,网络安全领域发现一高位安全漏洞,该漏洞是安全研究员Ammar Asker于6月2日发布推文,指出GitHub网页版VS Code(github.dev)被曝出存在Webview沙箱机制缺陷,攻击者可利用该漏洞制作恶意链接,如果用户点击链接访问,GitHub账号OAuth令牌主需要数十秒就会被窃取,自由代码仓库、源代码等可能有被泄露或篡改的严重后果据悉,该漏洞影响范围覆盖主流浏览器端,桌面版VS Code也受到影响,同样存在安全隐患,但攻击门槛相对更高。广大开发者与电脑用户需要提高警惕,做好安全防护工作。
GitHub推出的github.dev,是一款开发者非常熟悉的在线代码编辑工具。依托VS Code内核打造,用户可以通过浏览器直接在线查看或编辑代码仓库文件,不需要本地安装软件就能便捷操作代码,这一特点使得github.dev受到全球开发者的喜爱。github.dev内置Webview组件,本意是为了帮助开发者实现Markdown预览、Jupyter Notebook编辑等功能,官方计划通过沙箱技术隔离Webview,来防止内部脚本越权访问主程序数据,保障电脑使用安全。但为了保证快捷键功能正常使用,VS Code将Webview内的按键式事件同步转发到主编辑器窗口,也正是这一细节设计,让黑客有可乘之机。
黑客可以将JavaScript脚本植入到Jupyter Notebook文件中,该脚本可以伪造键盘按键指令,让主编辑器将伪造的指令判定为用户的真是操作。整套攻击流程非常隐蔽,使用者很难察觉。黑客制作的恶意脚本链接通过论坛、邮件等多种方式诱导用户点击,用户打开链接进入到github.dev后,恶意脚本就会自动等待扩展安装弹窗弹窗,然后模拟快捷键完成恶意扩展的静默安装。恶意扩展运行后直接读取会话中的GitHub OAuth令牌,黑客借助令牌调用GitHub接口后就可以获取所有仓库列表和源代码等核心数据,整个窃取过程没有任何提示和异常表现,Ammar Askar在推文中称整个过程完成耗时甚至不超过30秒,时间非常短。
用户保障个人数据安全的做法其实很简单,一是可以等待官方发布的漏斗补丁,二是更为重要的方面,就是在操作中提升自我安全意识。在日常使用中注意防范。已经使用过github.dev的用户可以清除浏览器中该站点的本地数据、cookie等缓存文件。完成清理后再次登录github.dev平台,倘若在登录验证环节收到不明链接的访问申请,需第一时间中断操作,从源头规避恶意程序安装的风险。如果此前打开过可疑程序,一定要及时进入VS Code扩展管理中心,清理掉来源不清的陌生扩展,防止恶意程序暗中盗取隐私信息。平日里也要提高警惕,绝不点击社交平台、陌生邮件内的可疑链接,这是防范网络攻击最有效的手段。
(本内容信息来源于网络,如有侵权或不实之处可联系删除)
