Firefoxi lisandmoodulite kataloogis () tuntud projektidena maskeeritud pahatahtlike lisandmoodulite massiline avaldamine. Näiteks sisaldab kataloog pahatahtlikke lisandmooduleid “Adobe Flash Player”, “Ublock origin Pro”, “Adblock Flash Player” jne.
Kuna sellised lisandmoodulid eemaldatakse kataloogist, loovad ründajad kohe uue konto ja postitavad oma lisandmoodulid uuesti. Näiteks konto loodi paar tundi tagasi , mille all asuvad lisandmoodulid “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019”. Ilmselt on lisandmoodulite kirjeldus loodud tagamaks, et need ilmuvad otsingupäringute “Adobe Flash Player” ja “Adobe Flash” ülaossa.
Kui lisandmoodulid on installitud, küsivad nad luba, et pääseda juurde kõikidele teie vaadatavate saitide andmetele. Töötamise ajal käivitatakse klahvilogija, mis edastab teabe vormide täitmise ja installitud küpsiste kohta hostile theridgeatdanbury.com. Lisandmoodulite installifailide nimed on "adpbe_flash_player-*.xpi" või "player_downloader-*.xpi". Lisandmoodulite sees olev skriptikood on veidi erinev, kuid nende sooritatavad pahatahtlikud toimingud on ilmsed ega peidetud.
Tõenäoliselt võimaldavad pahatahtliku tegevuse peitmise tehnikate puudumine ja ülilihtne kood automaatsest lisandmoodulite eelülevaatuse süsteemist mööda minna. Samal ajal pole selge, kuidas automaatne kontroll ignoreeris andmete selgesõnalist ja mitte varjatud saatmist lisandmoodulist välisele hostile.
Tuletagem meelde, et Mozilla hinnangul blokeerib digitaalallkirja kontrollimise kasutuselevõtt kasutajate järele luuravate pahatahtlike lisandmoodulite leviku. Mõned lisandmoodulite arendajad Selle positsiooni puhul usuvad nad, et digitaalallkirjaga kohustusliku kontrollimise mehhanism tekitab arendajatele ainult raskusi ja suurendab aega, mis kulub parandusväljaannete toomiseks kasutajatele, ilma et see mõjutaks mingil viisil turvalisust. Neid on palju triviaalseid ja ilmseid vältida automaatset kontrolli lisandmoodulite osas, mis võimaldavad pahatahtlikku koodi märkamatult sisestada, näiteks genereerides käigult toimingu, ühendades mitu stringi ja seejärel käivitades saadud stringi kutsudes eval. Mozilla positsioon Põhjus on selles, et enamik pahatahtlike lisandmoodulite autoreid on laisad ega kasuta pahatahtliku tegevuse varjamiseks selliseid võtteid.
Oktoobris 2017 sisaldas AMO kataloog uus toidulisandi läbivaatamise protsess. Manuaalne kontrollimine asendati automaatse protsessiga, mis välistas kontrollimise järjekorras pikad ootamised ja kiirendas uute versioonide kasutajatele kohaletoimetamist. Samal ajal ei kaotata käsitsi kontrollimist täielikult, vaid seda tehakse valikuliselt juba postitatud lisade puhul. Käsitsi ülevaatamiseks mõeldud täiendused valitakse arvutatud riskitegurite põhjal.
Allikas: opennet.ru