У каталогу дадаткаў да Firefox () масавая публікацыя шкоднасных дапаўненняў, якія прыкрываюцца вядомымі праектамі. Напрыклад, у каталогу размешчаны шкоднасныя дапаўненні "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player" і да т.п.
Па меры выдалення падобных дадаткаў з каталога зламыснікі адразу ствараюць новы рахунак і паўторна размяшчаюць свае дадаткі. Напрыклад, некалькі гадзін таму быў створаны ўліковы запіс , пад якой размешчаны дапаўненні "Youtube Adblock", "Ublock plus", "Adblock Plus 2019". Судзячы па ўсім апісанне да дадаткаў фармуецца для забеспячэння іх высновы ў топе пры пошукавых запытах «Adobe Flash Player» і «Adobe Flash».
Пры ўсталёўцы дадатку запытваюць паўнамоцтвы для доступу да ўсіх дадзеных прагляданых сайтаў. У працэсе працы запускаецца кейлоггер, які перадае на хост theridgeatdanbury.com звесткі аб запаўненні формаў і усталёўваных Cookie. Імёны ўсталявальных файлаў дадаткаў маюць выгляд "adpbe_flash_player-*.xpi" ці "player_downloader-*.xpi". Код скрыптоў усярэдзіне дадаткаў малаважна адрозніваецца, але выкананыя імі шкоднасныя дзеянні відавочныя і не хаваюцца.
Верагодна, адсутнасць ужывання тэхнік утойвання шкоднаснай актыўнасці і лімітава просты код дазваляюць абыйсці аўтаматызаваную сістэму папярэдняга рэцэнзавання дадаткаў. Пры гэтым незразумела, як пры аўтаматызаванай праверцы быў ігнараваны факт відавочнай і не ўтоенай адпраўкі дадзеных з дадатку на вонкавы хост.
Нагадаем, што па меркаванні Mozilla увядзенне праверкі па лічбавым подпісы дазволіць блакаваць распаўсюджванне шкоднасных і шпіёнскіх за карыстачамі дадаткаў. Некаторыя распрацоўшчыкі дапаўненняў з такой пазіцыяй і лічаць, што механізм абавязковай праверкі па лічбавым подпісы толькі стварае складанасці для распрацоўшчыкаў і прыводзіць да павелічэння часу давядзення да карыстальнікаў карэкціруючых выпускаў, ніяк не ўплываючы на бяспеку. Існуе мноства трывіяльных і відавочных для абыходу сістэмы аўтаматызаванай праверкі дадаткаў, якія дазваляюць неўзаметку ўставіць шкоднасны код, напрыклад, праз фармаванне аперацыі на лёце шляхам злучэння некалькіх радкоў з наступным выкананнем выніковага радка выклікам eval. Пазіцыя Mozilla да таго, што большасць аўтараў шкоднасных дадаткаў гультаяватыя і не будуць звяртацца да падобных тэхнік утойвання шкоднаснай актыўнасці.
У кастрычніку 2017 года ў каталогу AMO быў новы працэс рэцэнзавання дапаўненняў. На змену ручной праверцы прыйшоў аўтаматычны працэс, які дазволіў пазбавіцца ад працяглых чаканняў у чарзе на праходжанне праверкі і павялічыў аператыўнасць дастаўкі новых выпускаў да карыстальнікаў. Пры гэтым ручная праверка поўнасцю не скасавана, а выбарачна праводзіцца для ўжо размешчаных дапаўненняў. Дадаткі для ручной праверкі выбіраюцца на падставе вылічаных фактараў рызыкі.
Крыніца: opennet.ru