U direktoriju Firefox dodataka () masovno objavljivanje zlonamjernih dodataka prerušenih u dobro poznate projekte. Na primjer, direktorij sadrži zlonamjerne dodatke “Adobe Flash Player”, “ublock origin Pro”, “Adblock Flash Player” itd.
Kako se takvi dodaci uklanjaju iz kataloga, napadači odmah kreiraju novi nalog i ponovo postavljaju svoje dodatke. Na primjer, račun je kreiran prije nekoliko sati , ispod kojeg se nalaze dodaci “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019”. Očigledno, opis dodataka je formiran kako bi se osiguralo da se pojavljuju na vrhu za upite za pretraživanje “Adobe Flash Player” i “Adobe Flash”.
Kada se instaliraju, dodaci traže dozvole za pristup svim podacima na web lokacijama koje gledate. Tokom rada pokreće se keylogger koji prenosi informacije o popunjavanju obrazaca i instaliranim kolačićima na host theridgeatdanbury.com. Nazivi instalacionih datoteka dodataka su “adpbe_flash_player-*.xpi” ili “player_downloader-*.xpi”. Kod skripte unutar dodataka je malo drugačiji, ali zlonamjerne radnje koje izvode su očigledne i nisu skrivene.
Vjerovatno je da nedostatak tehnika za skrivanje zlonamjerne aktivnosti i krajnje jednostavan kod omogućavaju da se zaobiđe automatizirani sistem za preliminarni pregled dodataka. Istovremeno, nije jasno kako je automatska provjera zanemarila činjenicu eksplicitnog, a ne skrivenog slanja podataka iz dodatka na vanjski host.
Podsjetimo, prema Mozili, uvođenje provjere digitalnog potpisa blokirat će širenje zlonamjernih dodataka koji špijuniraju korisnike. Neki programeri dodataka s tim stavom smatraju da mehanizam obavezne provjere korištenjem digitalnog potpisa samo stvara poteškoće programerima i dovodi do povećanja vremena potrebnog da se ispravna izdanja dovedu do korisnika, a da ni na koji način ne utječu na sigurnost. Ima mnogo trivijalnih i očiglednih da zaobiđe automatsku provjeru dodataka koji dozvoljavaju da se zlonamjerni kod ubaci neprimijećen, na primjer, generiranjem operacije u hodu spajanjem nekoliko nizova, a zatim izvršavanjem rezultirajućeg niza pozivanjem eval. Mozillin položaj Razlog je taj što je većina autora zlonamjernih dodataka lijena i neće pribjeći takvim tehnikama da sakriju zlonamjerne aktivnosti.
U oktobru 2017. godine, AMO katalog je uključen novi proces pregleda dodataka. Ručna verifikacija zamijenjena je automatskim procesom, koji je eliminirao dugo čekanje u redu za verifikaciju i povećao brzinu isporuke novih izdanja korisnicima. Istovremeno, ručna provjera nije u potpunosti ukinuta, već se selektivno provodi za već objavljene dodatke. Dodaci za ručni pregled se biraju na osnovu izračunatih faktora rizika.
izvor: opennet.ru