في دليل الوظائف الإضافية لمتصفح Firefox () النشر الجماعي للوظائف الإضافية الضارة المتخفية في صورة مشاريع معروفة. على سبيل المثال، يحتوي الدليل على إضافات ضارة مثل "Adobe Flash Player"، و"ublock Origin Pro"، و"Adblock Flash Player"، وما إلى ذلك.
نظرًا لإزالة هذه الوظائف الإضافية من الكتالوج، يقوم المهاجمون على الفور بإنشاء حساب جديد وإعادة نشر الوظائف الإضافية الخاصة بهم. على سبيل المثال، تم إنشاء حساب قبل بضع ساعات ، والتي توجد تحتها الإضافات "Youtube Adblock"، "Ublock plus"، "Adblock Plus 2019". على ما يبدو، تم تشكيل وصف الوظائف الإضافية للتأكد من ظهورها في الجزء العلوي لاستعلامات البحث "Adobe Flash Player" و"Adobe Flash".
عند التثبيت، تطلب الوظائف الإضافية أذونات للوصول إلى جميع البيانات الموجودة على المواقع التي تستعرضها. أثناء التشغيل، يتم تشغيل برنامج Keylogger، الذي ينقل معلومات حول ملء النماذج وملفات تعريف الارتباط المثبتة إلى المضيف theridgeatdanbury.com. أسماء ملفات التثبيت الإضافية هي "adpbe_flash_player-*.xpi" أو "player_downloader-*.xpi". يختلف رمز البرنامج النصي داخل الوظائف الإضافية قليلاً، لكن الإجراءات الضارة التي تقوم بها واضحة وليست مخفية.
من المحتمل أن عدم وجود تقنيات لإخفاء الأنشطة الضارة والرمز البسيط للغاية يجعل من الممكن تجاوز النظام الآلي للمراجعة الأولية للوظائف الإضافية. وفي الوقت نفسه، ليس من الواضح كيف تجاهل الفحص الآلي حقيقة إرسال البيانات الصريحة وغير المخفية من الوظيفة الإضافية إلى مضيف خارجي.
دعونا نتذكر أنه وفقًا لموزيلا، فإن إدخال التحقق من التوقيع الرقمي سيمنع انتشار الوظائف الإضافية الضارة التي تتجسس على المستخدمين. بعض مطوري الإضافات وبهذا الموقف، فإنهم يعتقدون أن آلية التحقق الإلزامي باستخدام التوقيع الرقمي لا تؤدي إلا إلى خلق صعوبات للمطورين وتؤدي إلى زيادة الوقت المستغرق لتقديم الإصدارات التصحيحية للمستخدمين، دون التأثير على الأمن بأي شكل من الأشكال. هناك الكثير تافهة وواضحة لتجاوز الفحص الآلي للوظائف الإضافية التي تسمح بإدخال تعليمات برمجية ضارة دون أن يلاحظها أحد، على سبيل المثال، عن طريق إنشاء عملية سريعة عن طريق سلسلة عدة سلاسل ثم تنفيذ السلسلة الناتجة عن طريق استدعاء eval. موقف موزيلا والسبب هو أن معظم مؤلفي الوظائف الإضافية الضارة كسالى ولن يلجأوا إلى مثل هذه التقنيات لإخفاء الأنشطة الضارة.
في أكتوبر 2017، تم تضمين كتالوج AMO عملية مراجعة الملحق الجديدة. تم استبدال التحقق اليدوي بعملية تلقائية، مما أدى إلى القضاء على الانتظار الطويل في قائمة الانتظار للتحقق وزيادة سرعة تسليم الإصدارات الجديدة للمستخدمين. في الوقت نفسه، لا يتم إلغاء التحقق اليدوي بالكامل، ولكن يتم إجراؤه بشكل انتقائي للإضافات المنشورة بالفعل. يتم اختيار الإضافات للمراجعة اليدوية بناءً على عوامل الخطر المحسوبة.
المصدر: opennet.ru