V adresáři doplňků Firefoxu () hromadné zveřejňování škodlivých doplňků maskovaných za známé projekty. Adresář například obsahuje škodlivé doplňky „Adobe Flash Player“, „ublock origin Pro“, „Adblock Flash Player“ atd.
Jakmile jsou takové doplňky odstraněny z katalogu, útočníci okamžitě vytvoří nový účet a znovu zveřejní své doplňky. Například účet byl vytvořen před několika hodinami , pod kterým se nacházejí doplňky „Youtube Adblock“, „Ublock plus“, „Adblock Plus 2019“. Popis doplňků je zřejmě vytvořen tak, aby se zajistilo, že se objeví nahoře pro vyhledávací dotazy „Adobe Flash Player“ a „Adobe Flash“.
Po instalaci se doplňky zeptají na oprávnění pro přístup ke všem datům na stránkách, které si prohlížíte. Během provozu se spouští keylogger, který přenáší informace o vyplňování formulářů a nainstalovaných cookies na hostitele theridgeatdanbury.com. Názvy instalačních souborů doplňků jsou „adpbe_flash_player-*.xpi“ nebo „player_downloader-*.xpi“. Kód skriptu uvnitř doplňků se mírně liší, ale škodlivé akce, které provádějí, jsou zřejmé a nejsou skryté.
Je pravděpodobné, že nedostatek technik pro skrytí škodlivé aktivity a extrémně jednoduchý kód umožňují obejít automatizovaný systém pro předběžnou kontrolu doplňků. Zároveň není jasné, jak automatická kontrola ignorovala fakt explicitního a nikoli skrytého odesílání dat z doplňku na externí hostitele.
Připomeňme, že podle Mozilly zavedení ověřování digitálního podpisu zablokuje šíření škodlivých doplňků, které špehují uživatele. Někteří vývojáři doplňků s touto pozicí se domnívají, že mechanismus povinného ověřování pomocí digitálního podpisu pouze vytváří potíže pro vývojáře a vede ke zvýšení času potřebného k uvedení opravných verzí uživatelům, aniž by jakkoli ovlivnil bezpečnost. Existuje mnoho triviálních a zřejmých obejít automatickou kontrolu doplňků, které umožňují nepozorované vložení škodlivého kódu, například vygenerováním operace za běhu zřetězením několika řetězců a následným provedením výsledného řetězce voláním eval. Pozice Mozilly Důvodem je, že většina autorů škodlivých doplňků je líná a neuchýlí se k takovým technikám, aby skryli zákeřnou činnost.
V říjnu 2017 katalog AMO zahrnut nový proces kontroly doplňků. Ruční ověřování bylo nahrazeno automatickým procesem, který eliminoval dlouhé čekání ve frontě na ověření a zvýšil rychlost doručování nových verzí uživatelům. Ruční ověřování přitom není zcela zrušeno, ale selektivně se provádí u již zaúčtovaných přírůstků. Přídavky pro ruční kontrolu jsou vybírány na základě vypočítaných rizikových faktorů.
Zdroj: opennet.ru