谷歌瀏覽器“SymStealer”漏洞：可竊取用戶敏感文件

近期，網絡安全公司Imperva的紅隊披露了一個名為“SymStealer”的漏洞（CVE-2022-3656），據稱影響超過25億Google Chrome以及基于Chromium的瀏覽器用戶。此漏洞允許攻擊者竊取敏感文件，如加密錢包和云提供商憑據。

據悉，Chrome是目前使用最廣泛的瀏覽器，市場占有率為65.52％。另外兩個排名前6的瀏覽器Opera和Edge也都基于Chromium，這使Chromium的市場占有率超過了70％。Chromium的流行有諸多好處，如兼容性和安全審計。但這也增加了跨瀏覽器漏洞的可能性。

符號鏈接（symlink，也稱symbolic link）是一種指向另一個文件或目錄的文件類型。它允許操作系統將鏈接的文件或目錄視為位于符號鏈接的位置，這可以用于創建快捷方式、重定向文件路徑或以更靈活的方式組織文件。然而，如果符號鏈接處理不當，它們也可能引入漏洞。

在Imperva向Google披露的漏洞中，問題就源自瀏覽器在處理文件和目錄時與符號鏈接交互的方式。具體而言，瀏覽器沒有正確檢查符號鏈接是否指向非法訪問的位置，導致允許竊取敏感文件。這個問題通常稱之為符號鏈接跟隨（symbolic link following）。

實際的攻擊場景中，攻擊者可能會偽造一個提供新加密錢包服務的虛假網站。該網站會欺騙用戶通過下載他們的“恢復”密鑰來創建新錢包。

許多加密錢包和其他在線服務要求用戶下載“恢復（recovery）”密鑰才能訪問其帳戶。這些密鑰作為一種備份，防止用戶因任何原因（例如忘記密碼）而無法訪問其帳戶。用戶通常會下載這些密鑰，然后將其上傳回網站，以驗證其對帳戶的所有權。

然而這些密鑰實際上卻是一個包含符號鏈接到用戶計算機上敏感文件或文件夾（如云提供商憑據）的zip文件。當用戶解壓并將 “恢復”密鑰上傳回網站時，符號鏈接將被處理，攻擊者就此獲得對敏感文件的訪問權限。而用戶甚至都可能沒有意識到任何不對勁，因為該網站可能被設計成看起來十分的合法正規，下載和上傳“恢復”密鑰的過程可能看起來很正常。

Google已經確認了這個漏洞并發布了修復補丁。為了防范這個漏洞，用戶最好更新到最新版本的Chrome或基于Chromium的瀏覽器，以確保自己的文件不會被盜取。

此外，用戶應該盡量避免在網上下載可疑文件，特別是那些來自不可信網站的文件。如果用戶不確定文件是否可信，可以使用殺毒軟件來檢查文件是否受損或包含惡意軟件。另外，用戶也可以使用一些瀏覽器擴展來防御這個漏洞，例如防篡改保護之類的擴展。