导语:随着比特币、区块链为更多人熟知,公钥、密钥也成为被广泛谈论的关键词,如何让加密技术走进互联网用户的日常......这便是Keybase应运而生的前因。它希望使加密变得更简单,进而鼓励大众使用。

随着比特币、区块链为更多人熟知,公钥、密钥也成为被广泛谈论的关键词,如何让加密技术走进互联网用户的日常……这便是Keybase应运而生的前因。它希望使加密变得更简单,进而鼓励大众使用。

什么是Keybase?

 48bbe6d0db6e4ab68d47b49ec3efcd13.jpeg

Keybase是一个开放的公钥库,通过社交媒体验证信息。公钥加上私钥,可以有效加密任何信息。在其自我描述中,大写加粗的功能就是安全的端对端加密。

正如其创始人Max Krohn在博客中所写的那样,

Keybase旨在保护终端用户免受加密过于复杂的烦恼,同时让密码更简洁,容易审计和流通。Keybase是开源的,数据库也是,其透明度、安全性都可以达到你的期望,其中包括能保持诚信度的故障奖励制度。其迷人之处在于用户很高的信任度。Keybase使加密变简单化,进一步鼓励大众尝试。为世界上的每个人提供公钥,甚至是不了解它的人。这亦反映了 Keybase的愿景,加密属于每个人,而不仅仅是硬核程序员。

简单地讲,Keybase提供了一套PGP加密、解密、签名、验证签名的工具,验证各个社交网络帐号,包括Twitter、Facebook、Github、Instagram、Reddit以及比特币钱包地址、域名所有权等信息,以证明你的身份。

最常见的一个场景,就是线人给记者爆料。记者可以建立Keybase帐号并分享公钥。通过这种方式,线人可以了解自己与谁分享了信息。反之亦然。Keybase通过一种信任模式,寻求网络的非人性化特征。Keybase联合创始人Jeremy Stribling解释道,

如果你在报道结尾放上一个Keybase链接,任何人可以搜索到你的个人资料,通过社交媒体账户来验证信息。

该应用程序同时适用于桌面和移动平台。但是桌面用户可以获得一个移动用户不具备的奖励功能:即安装Keybase浏览器扩展。该浏览器扩展将在Facebook、Twitter、GitHub、Reddit或Hacker News上为人们的个人资料添加“Keybase Chat”按钮。单击该按钮就可以打开一个聊天窗口,允许用户直接在浏览器中输入消息。只有在发送初始消息后,对话才会转移到Keybase应用程序。

如此看来,Keybase的功能确实很强大且实用,但是事实真的如宣传所言吗?近日,安全研究人员发现,Keybase应用程序浏览器扩展并没有实现它对用户做出的端对端加密承诺。相反地,该扩展会将用户界面(按钮和聊天窗口)注入第三方网站。

谁发现了这个安全漏洞?

据悉,该漏洞是由流行扩展程序AdBlockPlus(Firefox、Chrome、Safari、Android和 iOS上最受欢迎的广告拦截程序)的开发者Wladimir Palant发现的,当时,他注意到由此扩展发送的消息会暴露给第三方JavaScript代码。

根据官方介绍显示,该扩展程序在Facebook、Twitter、Reddit和GitHub的社交档案中添加了“Keybase聊天”(Keybase Chat)按钮。用户可以单击该按钮,打开一个聊天窗口,并在其中键入他们的消息文本。

当用户撰写消息文本并“发送”时,该扩展程序会将其传输到Keybase的本地副本,该副本会对消息进行加密并通过Keybase Chat发送。在此建议用户可以通过常见问题解答(FAQ)部分,以便更好的了解Keybase Chrome和Firefox扩展程序。

问题出在哪里?

问题在于,这些消息在达到桌面应用程序前实际上并没有加密,这就允许第三方JavaScript读取这些消息的内容;甚至当用户在KeyBase中输入消息时,另一个扩展中的JavaScript代码实际上也可以读取消息。

安全研究人员Palant 解释称,

如此一来,也就意味着您在Facebook上输入的Keybase消息绝不是私密的;而且Facebook的JavaScript代码可以在您输入消息时就把它读取出来。这与Keybase在其Mozilla附加组件和Chrome Web Store安装页面上的承诺完全相反。

13.png

Keybase对此作何回应?

根据Keybase的说法,“这一切都在安装页面上清楚的描述并且是已知的。”事实上,在靠近该页面的底部,您会发现以下内容:

如果您的浏览器受损了该怎么办?Keybase扩展程序使用浏览器中的撰写框。如果您担心您的浏览器或社交网站的JavaScript已被泄露,例如通过另一个扩展程序甚至形迹可疑的社交网络,那么只需直接在Keybase应用程序中撰写消息即可。

缓解措施

对于上述问题,Palant 建议称,对于正在使用该应用程序来传递敏感数据的用户而言,应该及时卸载Keybase浏览器扩展并选择其他加密平台。或者通过隔离<iFrame>元素中的所有扩展用户界面来避免该问题。

源链接

Hacking more

...