En la dosierujo de Firefox-aldonaĵoj () amasa publikigo de malicaj aldonaĵoj kaŝvestitaj kiel konataj projektoj. Ekzemple, la dosierujo enhavas malicajn aldonaĵojn "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player", ktp.
Ĉar tiaj aldonaĵoj estas forigitaj de la katalogo, atakantoj tuj kreas novan konton kaj denove afiŝas siajn aldonaĵojn. Ekzemple, konto estis kreita antaŭ kelkaj horoj , sub kiuj troviĝas la aldonaĵoj "Youtube Adblock", "Ublock plus", "Adblock Plus 2019". Ŝajne, la priskribo de la aldonaĵoj estas formita por certigi, ke ili aperas en la supro por la serĉdemandoj "Adobe Flash Player" kaj "Adobe Flash".
Kiam instalitaj, aldonaĵoj petas permesojn por aliri ĉiujn datumojn en la retejoj, kiujn vi rigardas. Dum operacio, keylogger estas lanĉita, kiu transdonas informojn pri plenigado de formularoj kaj instalitaj Kuketoj al la gastiganto theridgeatdanbury.com. La nomoj de aldonaj instaldosieroj estas "adpbe_flash_player-*.xpi" aŭ "player_downloader-*.xpi". La skriptokodo ene de la aldonaĵoj estas iomete malsama, sed la malicaj agoj, kiujn ili faras, estas evidentaj kaj ne kaŝitaj.
Verŝajnas, ke la manko de teknikoj por kaŝi malican agadon kaj la ekstreme simpla kodo ebligas preteriri la aŭtomatan sistemon por antaŭa revizio de aldonaĵoj. Samtempe, estas ne klare kiel la aŭtomata kontrolo ignoris la fakton de eksplicita kaj ne kaŝita sendo de datumoj de la aldonaĵo al ekstera gastiganto.
Ni rememoru, ke laŭ Mozilo, la enkonduko de cifereca subskriba konfirmo blokos la disvastiĝon de malicaj aldonaĵoj, kiuj spionas uzantojn. Kelkaj aldonaj programistoj kun ĉi tiu pozicio, ili kredas, ke la mekanismo de deviga konfirmo uzante ciferecan subskribon nur kreas malfacilaĵojn por programistoj kaj kondukas al pliigo de la tempo necesa por alporti korektajn eldonojn al uzantoj, sen tuŝi sekurecon iel ajn. Estas multaj bagatelaj kaj evidentaj preteriri la aŭtomatigitan kontrolon por aldonaĵoj, kiuj ebligas nerimarkite enmeti malican kodon, ekzemple, per generado de operacio surflue kunligante plurajn ŝnurojn kaj poste efektivigante la rezultan ŝnuron per vokado de eval. La pozicio de Mozilo La kialo estas, ke la plej multaj aŭtoroj de malicaj aldonaĵoj estas maldiligentaj kaj ne recurros al tiaj teknikoj por kaŝi malican agadon.
En oktobro 2017, la AMO-katalogo inkludis nova suplementa revizia procezo. Mana konfirmo estis anstataŭigita per aŭtomata procezo, kiu eliminis longajn atendojn en la atendovico por konfirmo kaj pliigis la rapidecon de livero de novaj eldonoj al uzantoj. Samtempe, mana konfirmo ne estas tute nuligita, sed estas selekteme farita por jam afiŝitaj aldonoj. Aldonoj por mana revizio estas elektitaj surbaze de kalkulitaj riskfaktoroj.
fonto: opennet.ru