黑客使用Google Analytics窃取信用卡，绕过CSP

黑客利用谷歌的服务器和谷歌分析平台窃取网上商店顾客提交的信用卡信息。

上周披露的一种使用谷歌分析API绕过内容安全政策(CSP)的新方法已经部署在正在进行的Magecart攻击中，该攻击旨在从数十个电子商务网站窃取信用卡数据。

这一新策略利用了这样一个事实，即使用谷歌网络分析服务来跟踪访问者的电子商务网站，正将谷歌分析域名列入白名单，列入其CSP安全配置(一种用于阻止在网络应用上执行不可信代码的安全标准)。

网络安全公司SansEC和PerimeterX的最新研究表明，在也部署了Google Analytics(GA)的网站上，使用CSP来防止信用卡掠夺攻击是毫无意义的，因为威胁行为者可以利用它将收获的数据渗透到自己的账户中。

6月17日，PerimeterX在CSP的核心功能中发现并演示了一个易于复制的漏洞，该漏洞用于阻止凭证、PII和支付数据(如信用卡)的窃取。

不是阻止基于注入的攻击，而是允许Google Analytics脚本使攻击者受益，因为他们可以利用这些脚本窃取数据。这是通过Web Skimmer脚本完成的，该脚本专门设计用于对窃取的数据进行编码，并以加密的形式将其传送到攻击者的GA仪表板。

攻击者只需使用自己的UA-#-#表单的标签ID所有者AS"；CSP策略不能基于标签ID"；进行歧视，以便他们的脚本能够滥用GA发送获取的信息，如凭据、信用卡数据等。

问题的根源是CSP规则体系不够精细，PerimeterX的研究副总裁阿米尔·沙克德解释说。

识别和阻止旨在滥用此缺陷的脚本需要高级可见性解决方案，该解决方案可以检测敏感用户数据(在本例中为用户的电子邮件地址和密码)的访问和泄露。

虽然Shaked使用GA作为攻击者使用CSP中白名单中的主机的示例，因为它是CSP配置中最常见的白名单第三方服务，但任何其他白名单域服务都会受到攻击或提供基于帐户的管理，就像GA可以用作流出通道一样。

根据PerimeterX基于2020年3月的HTTPArchive扫描得出的统计数据，在排名前300万的因特网域中，只有21万人在使用CSP。通过这些域名可以访问的网站中，有1.7万个网站被列入了白名单，名为google-analytics.com。

根据BuiltWith提供的数据，目前有超过2900万家网站在使用谷歌的GA网络分析服务，百度智能分析和Yandex-Metrika也分别在700多万和200万网站上使用。

SansEC的威胁研究团队今天透露，自3月17日以来，他们一直在跟踪Magecart的一次活动，攻击者利用这个问题，使用谷歌分析(Google Analytics)绕过了几十个电子商务网站上的CSP。

这场行动背后的威胁分子更进一步，他们通过谷歌的开放存储平台Firebasestorage.googleapis.com向目标网站提供信用卡网络掠夺器，以确保所有活动组件都在使用谷歌服务器。

SansEC解释说，通常情况下，数字掠夺器(又名Magecart)运行在避税天堂不可靠的服务器上，它的位置暴露了它的邪恶意图。

但是，当浏览活动完全在受信任的谷歌服务器上运行时，很少有安全系统会将其标记为可疑。更重要的是，当网站管理员信任谷歌时，像内容安全策略(CSP)这样的流行对策将不起作用。

攻击者用来注入他们的网络掠夺器的加载器有多层混淆，它被用来在临时框架内加载攻击者控制的AGA账户。

一旦加载，掠夺器将监视被攻破的网站的用户输入，它将抓取任何输入的信用卡信息，对其进行加密，并自动将其发送到其主GA仪表板。

然后，攻击者可以从他们的免费Google Analytics仪表盘中收集被盗的信用卡数据，并使用XOR加密密钥进行解密。

正如SansEC还发现的那样，如果受威胁的在线商店的客户打开他们的浏览器开发工具，他们将被标记，撇油器将自动禁用。

"；默认情况下允许所有内容。发明CSP是为了限制不可信代码的执行。但由于几乎每个人都信任谷歌，这种模式是有缺陷的，SansEC首席执行官兼创始人威廉·德·格鲁特(Willem De Groot)告诉BleepingComputer。

基于这些发现，如果攻击者找到利用已被允许的域/服务渗漏信息的方法，CSP远不能万无一失地抵御Magecart等基于注入的Web应用程序攻击。

Shaked总结道：一种可能的解决方案来自自适应URL，将ID添加为URL或子域的一部分，以允许管理员设置CSP规则，将数据外泄限制到其他帐户。

作为CSP标准的一部分，加强CSP方向的一个更细粒度的未来方向是XHR代理实施。这实质上将创建一个客户端WAF，该WAF可以执行关于允许向何处传输特定数据字段的策略。"；