I mappen Firefox tilføjelser () masseudgivelse af ondsindede tilføjelser forklædt som velkendte projekter. For eksempel indeholder mappen ondsindede tilføjelser "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player" osv.
Da sådanne tilføjelser fjernes fra kataloget, opretter angribere straks en ny konto og genindsender deres tilføjelser. For eksempel blev en konto oprettet for et par timer siden , hvorunder tilføjelserne "Youtube Adblock", "Ublock plus", "Adblock Plus 2019" er placeret. Tilsyneladende er beskrivelsen af tilføjelserne dannet for at sikre, at de vises i toppen for søgeforespørgslerne "Adobe Flash Player" og "Adobe Flash".
Når de er installeret, beder tilføjelser om tilladelse til at få adgang til alle data på de websteder, du ser. Under drift lanceres en keylogger, som sender information om udfyldning af formularer og installerede cookies til værten theridgeatdanbury.com. Navnene på tilføjelsesinstallationsfiler er "adpbe_flash_player-*.xpi" eller "player_downloader-*.xpi". Scriptkoden inde i tilføjelserne er lidt anderledes, men de ondsindede handlinger, de udfører, er indlysende og ikke skjulte.
Det er sandsynligt, at manglen på teknikker til at skjule ondsindet aktivitet og den ekstremt simple kode gør det muligt at omgå det automatiserede system til foreløbig gennemgang af tilføjelser. Samtidig er det ikke klart, hvordan den automatiserede kontrol ignorerede kendsgerningen om eksplicit og ikke skjult afsendelse af data fra tilføjelsen til en ekstern vært.
Lad os huske på, at introduktionen af digital signaturverifikation ifølge Mozilla vil blokere spredningen af ondsindede tilføjelser, der spionerer på brugere. Nogle tilføjelsesudviklere med denne holdning mener de, at mekanismen med obligatorisk verifikation ved hjælp af en digital signatur kun skaber vanskeligheder for udviklere og fører til en stigning i den tid, det tager at bringe korrigerende udgivelser til brugerne, uden at det påvirker sikkerheden på nogen måde. Der er mange trivielle og indlysende at omgå det automatiserede tjek for tilføjelser, der tillader, at ondsindet kode kan indsættes ubemærket, for eksempel ved at generere en operation i farten ved at sammenkæde flere strenge og derefter udføre den resulterende streng ved at kalde eval. Mozillas holdning Årsagen er, at de fleste forfattere af ondsindede tilføjelser er dovne og vil ikke ty til sådanne teknikker for at skjule ondsindet aktivitet.
I oktober 2017 inkluderede AMO-kataloget ny tillægsgennemgang. Manuel verifikation blev erstattet af en automatisk proces, som eliminerede lange ventetider i køen til verifikation og øgede leveringshastigheden af nye udgivelser til brugerne. Samtidig er manuel verifikation ikke helt afskaffet, men udføres selektivt for allerede opslåede tilføjelser. Tilføjelser til manuel gennemgang vælges ud fra beregnede risikofaktorer.
Kilde: opennet.ru