Im Firefox-Add-On-Verzeichnis () Massenveröffentlichung bösartiger Add-ons, die als bekannte Projekte getarnt sind. Das Verzeichnis enthält beispielsweise bösartige Add-ons wie „Adobe Flash Player“, „ublock origin Pro“, „Adblock Flash Player“ usw.
Wenn solche Add-ons aus dem Katalog entfernt werden, erstellen Angreifer sofort ein neues Konto und veröffentlichen ihre Add-ons erneut. Beispielsweise wurde vor einigen Stunden ein Konto erstellt , unter dem sich die Add-ons „Youtube Adblock“, „Ublock plus“, „Adblock Plus 2019“ befinden. Offenbar ist die Beschreibung der Add-ons so gestaltet, dass sie bei den Suchanfragen „Adobe Flash Player“ und „Adobe Flash“ ganz oben erscheinen.
Bei der Installation fragen Add-ons nach Berechtigungen für den Zugriff auf alle Daten auf den von Ihnen angezeigten Websites. Während des Betriebs wird ein Keylogger gestartet, der Informationen über das Ausfüllen von Formularen und installierte Cookies an den Host theridgeatdanbury.com übermittelt. Die Namen der Add-on-Installationsdateien lauten „adpbe_flash_player-*.xpi“ oder „player_downloader-*.xpi“. Der Skriptcode in den Add-ons unterscheidet sich geringfügig, aber die schädlichen Aktionen, die sie ausführen, sind offensichtlich und nicht verborgen.
Es ist wahrscheinlich, dass das Fehlen von Techniken zum Verbergen bösartiger Aktivitäten und der extrem einfache Code es ermöglichen, das automatisierte System zur vorläufigen Überprüfung von Add-ons zu umgehen. Gleichzeitig ist nicht klar, wie die automatisierte Prüfung die Tatsache der expliziten und nicht versteckten Übermittlung von Daten vom Add-on an einen externen Host außer Acht lassen konnte.
Erinnern wir uns daran, dass laut Mozilla die Einführung der Überprüfung digitaler Signaturen die Verbreitung bösartiger Add-ons blockieren wird, die Benutzer ausspionieren. Einige Add-on-Entwickler Mit dieser Position glauben sie, dass der Mechanismus der obligatorischen Überprüfung mithilfe einer digitalen Signatur den Entwicklern nur Schwierigkeiten bereitet und zu einer Verlängerung der Zeit führt, die benötigt wird, um Korrekturversionen für Benutzer bereitzustellen, ohne die Sicherheit in irgendeiner Weise zu beeinträchtigen. Es gibt viele triviale und offensichtliche um die automatisierte Prüfung auf Add-ons zu umgehen, die das unbemerkte Einschleusen von Schadcode ermöglichen, indem beispielsweise im Handumdrehen eine Operation durch Verkettung mehrerer Zeichenfolgen generiert und die resultierende Zeichenfolge dann durch den Aufruf von eval ausgeführt wird. Mozillas Position Der Grund dafür ist, dass die meisten Autoren bösartiger Add-ons faul sind und nicht auf solche Techniken zurückgreifen, um bösartige Aktivitäten zu verbergen.
Im Oktober 2017 wurde der AMO-Katalog aufgenommen neuer Prozess zur Überprüfung von Nahrungsergänzungsmitteln. Die manuelle Verifizierung wurde durch einen automatischen Prozess ersetzt, wodurch lange Wartezeiten in der Warteschlange für die Verifizierung entfielen und die Geschwindigkeit der Bereitstellung neuer Versionen an Benutzer erhöht wurde. Gleichzeitig wird die manuelle Prüfung nicht vollständig abgeschafft, sondern punktuell für bereits gebuchte Ergänzungen durchgeführt. Ergänzungen zur manuellen Überprüfung werden auf der Grundlage berechneter Risikofaktoren ausgewählt.
Source: opennet.ru