受影响的特性 My Flow 允许用户仅使用 Opera 的移动应用扫描一个 QR码就轻松在桌面和移动设备上交换信息和文件。一旦扫描QR码，用户就会看到所显示的类似聊天的接口，可立即执行所共享的文件。这一特性虽然方便用户但也使用户面临安全风险。

研究人员支出，“这说明，网页上下文可从某种程度上与系统API进行交互，执行文件系统中的文件，而不受浏览器通常的限制条件，无沙箱无限制。”

安全研究员从这一假设触发，开始深挖 Opera 用于识别可被恶意利用的架构、开发和安全协议。在调查过程中，他们发现 My Flow 特性使用的一个内置浏览器扩展 “Opera Touch Background” 具有广泛权限，尽管浏览器实现了很多限制和安全检查来阻止代码注入攻击和其它类型的恶意滥用情况。

其中一个安全机制确保只有声明域下的web资源可与底层扩展进行通信，且只能使用特定的API。即使攻击者能够操纵此类资源增加自己的脚本，也必须绕过一个哈希值检查。

然而，研究人员发现，My Flow 着陆页有多个版本，其中一些版本已存在多年且缺少更新的安全检查。研究人员提到，“这正是攻击者所需要的——不安全的、被遗忘的、易受代码注入攻击，且更重要的是——具有对高权限原生浏览器API的访问权限。”

研究人员据此创建了 PoC 扩展，在受害者计算机上下载并执行文件。这一扩展将创建虚假的设备实例，生成与浏览器配对的QR码，之后模拟文件传输，向受害者浏览器传播恶意 payload。

研究人员表示，攻击要求用户交互但通过社工就能轻松绕过：用户安装该扩展后会收到“谢谢”的信息，在屏幕上任意地方点击一次就能触发 payload 执行。

在实践中，攻击者将创建恶意扩展，诱骗受害者进行安装，并在不到一秒钟的时间内在 Windows 或 macOS 系统上执行恶意代码。

该漏洞影响 Windows 和 macOS 系统上的 Opera 和 Opera GX 浏览器，已在2023年11月的服务器端修复。研究人员表示并未发现漏洞遭在野利用的证据。

Opera 证实称已在11月17日获悉该漏洞并在22日部署了修复方案。Opera 指出，“我们当前使用的是HTML 标准结构，是不会破坏关键功能的最安全选择。Guardio 公司告知我们这个漏洞后，我们清除了这些问题的诱因并确保未来不会发生类似问题。同时，我们在扩展商店中通过人工审计，检测任何恶意扩展并在推给用户前将其列入黑名单。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~