Cybersicherheitsforscher haben eine Sicherheitslücke im Opera Webbrowser für Microsoft Windows und Apple macOS aufgedeckt, die ausgenutzt werden kann, um jede Datei im zugrunde liegenden Betriebssystem auszuführen. Die Schwachstelle für die Ausführung von Remote-Code wurde vom Forschungsteam Guardio Labs MyFlaw benannt, da sie eine Funktion namens „My Flow“ ausnutzt, mit der es möglich ist, Nachrichten und Dateien zwischen mobilen und Desktop-Geräten zu synchronisieren. Das Unternehmen erklärte in einer Stellungnahme, dass dies durch eine kontrollierte Browser-Erweiterung ermöglicht wird, die die Sandbox des Browsers umgeht. Das Problem betrifft sowohl den Opera-Browser als auch Opera GX. Nach einer verantwortungsvollen Offenlegung am 17. November 2023 wurde es im Rahmen von Updates behoben, die am 22. November 2023 versendet wurden. My Flow verfügt über eine chatähnliche Benutzeroberfläche zum Austausch von Notizen und Dateien, wobei letztere über eine Web-Schnittstelle geöffnet werden können, was bedeutet, dass eine Datei außerhalb der Sicherheitsgrenzen des Browsers ausgeführt werden kann. Es ist im Browser vorinstalliert und wird über eine integrierte Browser-Erweiterung namens „Opera Touch Background“ ermöglicht, die für die Kommunikation mit dem mobilen Gegenstück verantwortlich ist. Dies bedeutet auch, dass die Erweiterung über eine eigene Manifestdatei verfügt, die alle erforderlichen Berechtigungen und ihr Verhalten spezifiziert, einschließlich einer Eigenschaft namens „externally_connectable“, die angibt, welche anderen Webseiten und Erweiterungen darauf zugreifen können.
Im Fall von Opera sollten die Domänen, die mit der Erweiterung kommunizieren können, den Mustern „*.flow.opera.com“ und „.flow.op-test.net“ entsprechen – beide werden vom Browserhersteller selbst kontrolliert. Guardio Labs konnte eine „vergessene“ Version der My Flow-Landingpage auf der Domain „web.flow.opera.com“ mithilfe des Website-Scannertools urlscan.io aufspüren. Die Untersuchung stellte fest, dass die Seite zwar ähnlich aussieht wie die aktuelle Produktionsseite, jedoch Änderungen unter der Haube vorgenommen wurden: Sie fehlt nicht nur das „Content Security Policy“ meta-Tag, sondern enthält auch ein Skript-Tag, das eine JavaScript-Datei ohne jede Integritätsprüfung aufruft. Dies ist genau das, was ein Angreifer braucht – eine unsichere, vergessene Anfälligkeit für Code-Injektion und vor allem Zugriff auf eine (sehr) hochberechtigte native Browser-API.
Dann erstellt der Angreifer eine speziell erstellte Erweiterung, die sich als mobiles Gerät tarnt, um sich mit dem Computer des Opfers zu verbinden und eine verschlüsselte schädliche Nutzlast über die modifizierte JavaScript-Datei an den Host zu übertragen, um sie anschließend durch Auffordern des Benutzers zum Klicken an einer beliebigen Stelle auf dem Bildschirm auszuführen. Die Ergebnisse verdeutlichen die zunehmende Komplexität browserbasierter Angriffe und die verschiedenen Vektoren, die von Angreifern genutzt werden können. Die Sicherheitslücke wurde schnell geschlossen und behoben, um zu verhindern, dass solche Probleme erneut auftreten. Opera dankt Guardio Labs für die Entdeckung der Schwachstelle und betont die Bedeutung der Zusammenarbeit mit Sicherheitsexperten auf der ganzen Welt, um die Sicherheit der Produkte zu verbessern und den Benutzern ein sicheres Online-Erlebnis zu bieten.