Keybase瀏覽器擴充套件允許站點檢視使用者的訊息
隨著比特幣、區塊鏈為更多人熟知,公鑰、金鑰也成為被廣泛談論的關鍵詞,如何讓加密技術走進網際網路使用者的日常……這便是Keybase應運而生的前因。它希望使加密變得更簡單,進而鼓勵大眾使用。
什麼是Keybase?
Keybase是一個開放的公鑰庫,通過社交媒體驗證資訊。公鑰加上私鑰,可以有效加密任何資訊。在其自我描述中,大寫加粗的功能就是安全的端對端加密。
正如其創始人Max Krohn在部落格中所寫的那樣,
Keybase旨在保護終端使用者免受加密過於複雜的煩惱,同時讓密碼更簡潔,容易審計和流通。Keybase是開源的,資料庫也是,其透明度、安全性都可以達到你的期望,其中包括能保持誠信度的故障獎勵制度。其迷人之處在於使用者很高的信任度。Keybase使加密變簡單化,進一步鼓勵大眾嘗試。為世界上的每個人提供公鑰,甚至是不瞭解它的人。這亦反映了 Keybase的願景,加密屬於每個人,而不僅僅是硬核程式員。
簡單地講,Keybase提供了一套PGP加密、解密、簽名、驗證簽名的工具,驗證各個社交網路帳號,包括Twitter、Facebook、Github、Instagram、Reddit以及比特幣錢包地址、域名所有權等資訊,以證明你的身份。
最常見的一個場景,就是線人給記者爆料。記者可以建立Keybase帳號並分享公鑰。通過這種方式,線人可以瞭解自己與誰分享了資訊。反之亦然。Keybase通過一種信任模式,尋求網路的非人性化特徵。Keybase聯合創始人Jeremy Stribling解釋道,
如果你在報道結尾放上一個Keybase連結,任何人可以搜尋到你的個人資料,通過社交媒體賬戶來驗證資訊。
該應用程式同時適用於桌面和移動平臺。但是桌面使用者可以獲得一個移動使用者不具備的獎勵功能:即安裝Keybase瀏覽器擴充套件。該瀏覽器擴充套件將在Facebook、Twitter、GitHub、Reddit或Hacker News上為人們的個人資料新增“Keybase Chat”按鈕。單擊該按鈕就可以開啟一個聊天視窗,允許使用者直接在瀏覽器中輸入訊息。只有在傳送初始訊息後,對話才會轉移到Keybase應用程式。
如此看來,Keybase的功能確實很強大且實用,但是事實真的如宣傳所言嗎?近日,安全研究人員發現,Keybase應用程式瀏覽器擴充套件並沒有實現它對使用者做出的端對端加密承諾。相反地,該擴充套件會將使用者介面(按鈕和聊天視窗)注入第三方網站。
誰發現了這個安全漏洞?
據悉,該漏洞是由流行擴充套件程式AdBlockPlus(Firefox、Chrome、Safari、Android和 iOS上最受歡迎的廣告攔截程式)的開發者Wladimir Palant發現的,當時,他注意到由此擴充套件傳送的訊息會暴露給第三方JavaScript程式碼。
根據官方介紹顯示,該擴充套件程式在Facebook、Twitter、Reddit和GitHub的社交檔案中添加了“Keybase聊天”(Keybase Chat)按鈕。使用者可以單擊該按鈕,開啟一個聊天視窗,並在其中鍵入他們的訊息文字。
當用戶撰寫訊息文字並“傳送”時,該擴充套件程式會將其傳輸到Keybase的本地副本,該副本會對訊息進行加密並通過Keybase Chat傳送。在此建議使用者可以通過常見問題解答(FAQ)部分,以便更好的瞭解Keybase Chrome和Firefox擴充套件程式。
問題出在哪裡?
問題在於,這些訊息在達到桌面應用程式前實際上並沒有加密,這就允許第三方JavaScript讀取這些訊息的內容;甚至當使用者在KeyBase中輸入訊息時,另一個擴充套件中的JavaScript程式碼實際上也可以讀取訊息。
安全研究人員Palant 解釋稱,
如此一來,也就意味著您在Facebook上輸入的Keybase訊息絕不是私密的;而且Facebook的JavaScript程式碼可以在您輸入訊息時就把它讀取出來。這與Keybase在其Mozilla附加元件和Chrome Web Store安裝頁面上的承諾完全相反。
Keybase對此作何迴應?
根據Keybase的說法,“這一切都在安裝頁面上清楚的描述並且是已知的。”事實上,在靠近該頁面的底部,您會發現以下內容:
如果您的瀏覽器受損了該怎麼辦?Keybase擴充套件程式使用瀏覽器中的撰寫框。如果您擔心您的瀏覽器或社交網站的JavaScript已被洩露,例如通過另一個擴充套件程式甚至形跡可疑的社交網路,那麼只需直接在Keybase應用程式中撰寫訊息即可。
緩解措施
對於上述問題,Palant 建議稱,對於正在使用該應用程式來傳遞敏感資料的使用者而言,應該及時解除安裝Keybase瀏覽器擴充套件並選擇其他加密平臺。或者通過隔離<iFrame>元素中的所有擴充套件使用者介面來避免該問題。