Chrome扩展程序安全编写与审计指南

1. Chrome扩展程序安全概述

Chrome扩展程序安全是一个被低估但极其重要的领域，与其他平台(如Electron)相比，相关研究和工具较少。本指南将全面介绍如何安全地编写和审计Chrome扩展程序。

1.1 为什么Chrome扩展安全很重要

• Chrome浏览器及其扩展拥有庞大的用户群体
• 扩展程序漏洞可能导致严重后果：
  • 访问所有特权扩展API
  • 冒充受害者访问所有网站
  • 修改浏览器书签、历史记录等敏感信息
  • 劫持已认证网站的账户

1.2 典型漏洞案例

1. Reddit增强套件(RES)扩展程序：150万用户受影响，存在内容脚本中的XSS漏洞
2. Steam Inventory Helper扩展程序：后台页面中可执行任意JavaScript，导致账户劫持

2. Chrome扩展程序基础架构

2.1 基本结构

Chrome扩展程序本质上是一个.crx压缩文件夹，核心文件是manifest.json。

manifest.json关键属性

{
  "manifest_version": 2,
  "name": "扩展名称",
  "version": "版本号",
  "description": "描述",
  "permissions": ["权限列表"],
  "background": {
    "scripts": ["后台脚本.js"]
  },
  "content_scripts": [{
    "matches": ["匹配的URL模式"],
    "js": ["内容脚本.js"]
  }]
}

2.2 扩展程序URL结构

扩展资源通过chrome-extension://[EXTENSION_ID]/path访问，其中：

• EXTENSION_ID是Chrome扩展私钥的base32编码的SHA256哈希值
• 所有路径都是相对于manifest.json所在的基础位置

3. Chrome扩展程序安全模型

3.1 独立而活跃的领域

Chrome扩展环境采用"独立而活跃的领域"安全模型，主要组件包括：

1. 后台页面(Background Page)

   • 拥有所有特权扩展API访问权限
   • 长期运行，管理扩展的核心逻辑
   • 漏洞危害最大（可访问所有API）

2. 内容脚本(Content Script)

   • 注入到匹配的网页中执行
   • 有限的特权API访问
   • 与网页DOM隔离但可通过消息传递通信

3. 选项页面(Options Page)

   • 扩展的设置界面
   • 通常拥有部分特权

4. 弹出页面(Popup Page)

   • 点击扩展图标时显示的页面
   • 有限的生命周期

3.2 组件间通信机制

1. chrome.runtime.sendMessage：扩展内部组件间通信
2. chrome.tabs.sendMessage：与特定标签页中的内容脚本通信
3. window.postMessage：与网页脚本通信（需谨慎）

4. 常见安全反模式

4.1 后台页面中的XSS漏洞

危害等级：极高

后台页面中的XSS允许攻击者：

• 调用任何扩展API
• 访问所有已声明权限的功能
• 窃取敏感数据或执行恶意操作

防护措施：

• 避免动态生成后台页面HTML
• 对所有用户输入进行严格过滤
• 使用内容安全策略(CSP)

4.2 内容脚本中的XSS漏洞

危害等级：中高

虽然不如后台页面XSS严重，但仍可能导致：

• 窃取网页中的敏感数据
• 修改网页内容
• 通过消息传递攻击扩展其他部分

防护措施：

• 避免使用innerHTML等不安全DOM操作
• 使用textContent替代
• 实现严格的输入验证

4.3 不安全的权限声明

常见问题：

• 声明过多不必要的权限
• 使用过于宽松的匹配模式（如<all_urls>）
• 未考虑权限升级可能性

最佳实践：

• 遵循最小权限原则
• 使用最严格的匹配模式
• 考虑使用activeTab权限替代宽泛的URL权限

4.4 不安全的通信机制

风险点：

• 未验证消息来源
• 暴露敏感API给不可信上下文
• 双向通信未实施适当的安全检查

安全建议：

• 始终验证消息发送方（使用chrome.runtime.id）
• 限制从内容脚本接收的消息类型
• 避免将特权API暴露给网页脚本

4.5 不安全的CSP配置

常见错误：

• 允许unsafe-eval
• 允许unsafe-inline
• 包含不必要的源（如*）

推荐配置：

"content_security_policy": "script-src 'self'; object-src 'self'"

5. 安全开发实践

5.1 安全编码准则

1. 输入验证：

   • 对所有外部输入进行严格验证
   • 使用白名单而非黑名单方法

2. 输出编码：

   • 在插入动态内容到DOM前进行编码
   • 使用安全API（如textContent）

3. 特权隔离：

   • 将高特权代码与低特权代码分离
   • 使用消息传递进行跨域通信

5.2 权限管理策略

1. 最小权限原则：

   • 只请求必要的权限
   • 考虑运行时请求可选权限

2. 权限审查：

   • 定期审查已声明的权限
   • 移除不再使用的权限

5.3 安全测试要点

1. 静态分析：

   • 检查manifest.json中的权限和配置
   • 查找不安全的API使用

2. 动态分析：

   • 测试XSS漏洞
   • 验证通信安全
   • 检查CSP有效性

6. 扩展程序审计指南

6.1 审计流程

1. manifest.json审查：

   • 检查声明的权限
   • 验证CSP配置
   • 审查内容脚本匹配模式

2. 后台页面审计：

   • 查找动态HTML生成
   • 检查消息处理安全性
   • 验证API使用情况

3. 内容脚本审计：

   • 检查DOM操作安全性
   • 验证与后台页面的通信
   • 审查与网页的交互

6.2 常见漏洞模式

1. eval和动态代码执行：

   // 不安全示例
   eval(userControlledInput);
   new Function(userControlledInput);
   setTimeout(userControlledInput, 0);
   

2. 不安全的DOM操作：

   // 不安全示例
   document.getElementById('output').innerHTML = userInput;
   
   // 安全替代方案
   document.getElementById('output').textContent = userInput;
   

3. 未验证的消息来源：

   // 不安全示例
   chrome.runtime.onMessage.addListener((request, sender, sendResponse) => {
     if (request.action === 'deleteAllData') {
       deleteAllData();
     }
   });
   
   // 安全示例
   chrome.runtime.onMessage.addListener((request, sender, sendResponse) => {
     if (sender.id !== chrome.runtime.id) return; // 验证来源
     if (request.action === 'deleteAllData') {
       deleteAllData();
     }
   });
   

6.3 自动化审计工具

虽然专门针对Chrome扩展的审计工具较少，但可以考虑：

1. Chrome开发者工具：审查网络请求、DOM修改等
2. 扩展源代码扫描工具：查找常见漏洞模式
3. CSP验证工具：检查内容安全策略有效性

7. 高级安全主题

7.1 权限升级防范

风险场景：

• 低权限组件被利用来访问高权限功能
• 通过消息传递或共享DOM实现权限提升

防护措施：

• 严格隔离不同权限级别的组件
• 实施严格的输入验证和输出编码
• 使用不同的源隔离高特权代码

7.2 安全更新机制

最佳实践：

• 实现安全的自动更新流程
• 使用签名验证更新包
• 确保更新通道安全（HTTPS）

7.3 敏感数据处理

安全建议：

• 避免在本地存储敏感凭证
• 使用chrome.storage.local而非localStorage
• 考虑实现内存中加密

8. 总结

Chrome扩展程序安全需要特别关注以下几点：

1. 理解扩展架构：清楚后台页面、内容脚本等组件的安全边界
2. 最小权限原则：只请求必要的权限
3. 输入验证：对所有外部输入进行严格验证
4. 安全通信：验证消息来源，限制暴露的API
5. 安全DOM操作：避免不安全的HTML插入方法
6. 严格的CSP：实施强有力的内容安全策略

通过遵循这些准则，开发人员可以显著降低扩展程序的安全风险，审计人员也能更有效地识别潜在漏洞。