WebUSB：一個網頁是如何從你的手機中盜竊數據的

作者：Covfefe

介紹

今年9月15日，Chrome61發(fā)布，它啟用了WebUSB作為其默認功能。而WebUSB是一個Javascript API，可以允許網頁訪問已連接的USB設備。這里的USB設備是指系統(tǒng)和工業(yè)的USB設備，所以不支持常見的USB設備（比如網絡攝像頭，HID或大容量儲存設備）。然而通過WebUSB API，很多其他的USB設備可以被訪問，且當用戶授權給網頁時，自己可能根本不了解網頁獲取的訪問權限級別。

這篇文章探尋WebUSB的功能，以深入了解其工作原理，攻擊方法及隱私問題。我們會解釋訪問設備所需的過程，以及瀏覽器是如何處理權限的，然后我們會討論一些安全隱患，并演示一個網站如何使用WebUSB來建立ADB連接來入侵安卓手機。

基礎

當USB設備插入主機時，瀏覽器會讀取設備發(fā)送的描述符，然后將其儲存在內部USB設備儲存器中。此過程由Chrome的瀏覽器內核Blink處理。日志可以在chrome://device-log（GET參數“refresh = 1”非常有用）中查看。

根據規(guī)范，設備可以在其二進制對象存儲中的平臺描述符中明確地聲明對WebUSB的支持。

瀏覽器將每個USB設備存儲在自己的設備存儲器中。WebUSB的可訪問性由本機驅動程序支持所決定。在Windows上，我們可以通過瀏覽器訪問由WinUSB驅動程序處理的每個USB設備。其他的諸如大容量存儲設備，網絡攝像頭或HID等就無法通過網絡訪問了，因為它們具有處理這些設備的專用驅動程序。

根據規(guī)范（和本博客文章），一旦設備注冊，瀏覽器就會顯示一條通知?？雌饋硐襁@樣：

但是，這種行為不容易重現。我們在以下系統(tǒng)上嘗試過：

Windows 7, Chrome 61Windows 10, Chrome 61Debian, Chromium 60 (啟用了chrome://flags/#enable-experimental-web-platform-features)Debian, Google Chrome 61Arch Linux, Chromium 61Arch Linux, Google Chrome 61

Platform Descriptor中有一個有趣的元素叫做“iLandingPage”。即使規(guī)范將協議“http://”和“https://”作為前綴，我們也可以選擇一個空協議，在這種情況下，我們應該可以在提供的URL本身中指定協議。

但是，Chrome已移除或根本沒有實現注入任意URL前綴的功能。以下是源文件中名為“webusb_descriptors.cc”的代碼片段。它解析接收到的描述頭，包括“iLandingPage”。將URL前綴限制為“http://”和“https://”。

// Look up the URL prefix and append the rest of the data in the descriptor.?std::string url;?switch (bytes[2]) {? ?case 0:? ? ?url.append("http://");? ? ?break;? ?case 1:? ? ?url.append("https://");? ? ?break;? ?default:? ? ?return false;?}?url.append(reinterpret_cast<const char*>(bytes.data() + 3), length - 3);

請求訪問設備

網頁可以打開提示請求訪問設備，它必須指定過濾器來過濾可用的設備。如果過濾器為空，那么即允許用戶從所有可用設備中選擇設備。打開的提示如下所示：

用戶可以看到所有（過濾的）可用設備。設備名稱引用于自身所發(fā)送的產品名稱。如果沒有指定產品名稱，Chrome會嘗試通過有關設備的已知信息來猜測一個表達性的名稱。然后，它會將設備命名為“來自<vendor_name>”的未知設備。用戶選擇設備并點擊“連接”后，即可授予訪問設備的權限。

權限處理

權限由Chrome的permission API處理。一旦向網頁授予權限訪問設備，權限會一直持續(xù)，直到用戶手動撤銷。處理權限的API根據其根源區(qū)分“網頁”，即當具有匹配的協議，主機和端口時，瀏覽器就會認為這個網頁與另一網頁相同。瀏覽器識別唯一設備的行為不是很明顯，用于識別的候選目標由設備在其描述頭中發(fā)送。候選目標如下：

GUIDVendor IDProduct ID

雖然GUID是唯一的ID，但它不能用于識別設備。以下是多次插入和拔出測試設備的日志的截圖，可見每次設備都有不一樣的GUID，即便如此，每次插入后設備都被許可且可以訪問，不需要進一步的許可請求。

這表明Chrome使用Vendor ID和Product ID的組合來標識設備。

訪問設備

一旦網頁被授予訪問設備的權限，那么就可以訪問它了。首先其必須打開設備，打開設備的過程中就開始了與設備的會話，然后設備會被鎖定，這樣同一瀏覽器會話中的其他選項卡就無法訪問了。但是另一個瀏覽器的另一個網頁仍然可以打開相同設備。

為了與設備進行通信，瀏覽器必須聲明要與之通信的接口。在聲明接口之后，主機上的任何其他應用程序都是無法聲明的。使用聲明的接口，頁面可以與指定接口的端點通信。

接下來，頁面啟動控制傳輸來設置設備，這基本上指定了它希望與設備通信的方式以及所要求的確切功能。一旦設備設置好，它就可以傳輸數據，并且完成USB設備接口的所有功能。

檢查WebUSB的支持

我們構建了一個小型概念性證明（PoC）工具，可以輕松確定WebUSB是否支持設備。該工具測試是否能至少聲明一個已連接的USB設備的接口，如果存在，那么就意味著它可以與設備通信，因此該設備是被支持的。

不過該工具無法測試USB設備是否完全不受支持，因為無法聲明接口的原因有所不同。該接口可以被另一個程序聲明，或瀏覽器可能沒有系統(tǒng)（Linux）的訪問權限。

該工具是一個簡單的靜態(tài)網站。你可以點擊這里下載。這是它的外觀：

要測試設備是否支持，請單擊“選擇設備”按鈕打開權限提示。此提示將列出所有可用的USB設備。通過選擇所需的設備并單擊“連接”，工具將打開設備，并遍歷每個可用的界面，并嘗試聲明。結果記錄在頁面底部的表格中。被聲明的interfaces列顯示可以聲明的接口編號。

如果要在其他地方使用受支持的設備，則需要刷新站點或關閉該選項卡。

安全性考慮

總體來說WebUSB是安全的，但是像所有新添加的代碼一樣，它擴大了代碼庫，因此也擴大了瀏覽器的受攻擊面。這是一種新技術，所以問題是不可避免的，在這方面的一些安全狀況已經有了初步意見。

WebUSB在Chrome的瀏覽器內核Blink中運行。因此，發(fā)現WebUSB中的內存崩潰可能并不比Blink中其他地方的內存崩潰更影響更大。

實現WebUSB的網站應確保節(jié)制使用XSS是一個優(yōu)先事項。利用XSS漏洞的攻擊者可能具有與網站相同的對已連接設備的訪問權，期間用戶并不會注意到。

處理WebUSB的權限對于用戶可能不是很明顯。當頁面請求訪問USB設備時，向用戶發(fā)出的通知不包含任何警告，而該站點從這時起將具有對該設備的完整的，靜默的USB訪問權限。

我們構建了一個概念性證明（PoC）來證明這個問題。在這種情況下，基于WebUSB的ADB主機實現被用于訪問連接的Android手機。一旦用戶接受請求，該頁面使用WebUSB可以從相機文件夾中檢索所有圖片?！军c擊這里下載PoC】

通過這種訪問級別，網站不僅可以從文件系統(tǒng)中竊取每個可讀取的文件，還可以安裝APK，訪問攝像頭和麥克風來監(jiān)視用戶，并可能將權限升級到root。

該示例受到用戶交互的高度限制，因此風險大大降低 – 用戶必須向其手機授予網頁權限，在其手機上激活USB調試，并最終允許來自主機的ADB連接。到目前為止，這只適用于Linux，因為在Windows中的實現相當不穩(wěn)定。然而，它既可以作為在WebUSB上運行復雜協議的示例，也可以顯示WebUSB請求的一次點擊如何導致數據泄露。

您可以在下面的視頻中看到PoC的操作。有兩個虛擬機，左邊的一個作為惡意的Web服務器，右邊的一個作為受害者。網站連接到手機后，ADB連接在手機上確認。然后檢索所有拍攝的照相機圖像并將其顯示出來?！军c擊這里下載源碼】

視頻地址：https://labs.mwrinfosecurity.com/assets/Uploads/WebADB-Demo.mp4

進一步的研究

進一步的研究可能集中在發(fā)現實現WebUSB的缺陷，并可能會披露內存崩潰bug。然而，代碼庫相對較小，并且新的修復也在持續(xù)寫入。

另一個有趣的調查對象是用惡意的USB設備攻擊Chrome。前者可能會發(fā)送錯誤的USB描述符，并可能在瀏覽器中觸發(fā)未預期的行為。 Chrome可以為WebUSB（chrome://usb-internals/）添加虛擬測試設備，這很有幫助。這樣的攻擊向量需要物理訪問設備，所以顯得有點不太現實。

另外，在研究WebUSB或任何其他新的網絡標準時，如Web藍牙或Web NFC，請記住，這些功能日新月異，甚至一個月前的信息可??能已經過時了。

總結

一般來說，由于在有限的審查期間管理和限制，WebUSB被確定具有良好的安全標準。支持的設備非常有限，WebUSB無法訪問網絡攝像頭，HID和大容量存儲設備。然而進一步研究后，我們發(fā)現這是一個有趣的技術，特別是在引入重大變化或附加功能時。

建議用戶永遠不要讓不受信任的網站訪問包含任何敏感數據的USB設備。這可能導致設備被入侵。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。