در فهرست افزودنی های فایرفاکس () انتشار انبوه افزونه های مخرب که به عنوان پروژه های معروف پنهان شده اند. به عنوان مثال، دایرکتوری حاوی افزونه های مخرب "Adobe Flash Player"، "ublock origin Pro"، "Adblock Flash Player" و غیره است.
از آنجایی که چنین افزونه هایی از کاتالوگ حذف می شوند، مهاجمان بلافاصله یک حساب کاربری جدید ایجاد کرده و افزونه های خود را دوباره پست می کنند. به عنوان مثال، چند ساعت پیش یک حساب کاربری ایجاد شد ، که در آن افزونه های «Youtube Adblock»، «Ublock plus»، «Adblock Plus 2019» قرار دارند. ظاهراً، توضیحات افزونهها برای اطمینان از ظاهر شدن آنها در بالا برای عبارتهای جستجو «Adobe Flash Player» و «Adobe Flash» شکل گرفته است.
پس از نصب، افزونهها برای دسترسی به همه دادههای سایتهایی که مشاهده میکنید، مجوز میخواهند. در حین کار، یک keylogger راه اندازی می شود که اطلاعات مربوط به پر کردن فرم ها و کوکی های نصب شده را به میزبان theridgeatdanbury.com منتقل می کند. نام فایل های نصب افزونه "adpbe_flash_player-*.xpi" یا "player_downloader-*.xpi" است. کد اسکریپت داخل افزونه ها کمی متفاوت است، اما اقدامات مخربی که آنها انجام می دهند آشکار است و پنهان نیست.
این احتمال وجود دارد که فقدان تکنیک هایی برای پنهان کردن فعالیت های مخرب و کد بسیار ساده، دور زدن سیستم خودکار برای بررسی اولیه افزونه ها را ممکن می کند. در عین حال، مشخص نیست که چگونه بررسی خودکار واقعیت ارسال صریح و پنهان داده ها از افزونه به یک میزبان خارجی را نادیده گرفته است.
به یاد بیاوریم که طبق گفته موزیلا، معرفی تأیید امضای دیجیتال از گسترش افزونههای مخربی که از کاربران جاسوسی میکنند، جلوگیری میکند. برخی از توسعه دهندگان افزونه با این موضع، آنها بر این باورند که مکانیسم تأیید اجباری با استفاده از امضای دیجیتال تنها مشکلاتی را برای توسعه دهندگان ایجاد می کند و منجر به افزایش زمان لازم برای ارائه نسخه های اصلاحی به کاربران می شود، بدون اینکه به هیچ وجه امنیت را تحت تأثیر قرار دهد. موارد پیش پا افتاده و بدیهی زیادی وجود دارد برای دور زدن بررسی خودکار افزونههایی که اجازه میدهند کدهای مخرب بدون توجه وارد شوند، به عنوان مثال، با ایجاد یک عملیات در جریان با به هم پیوستن چندین رشته و سپس اجرای رشته حاصل با فراخوانی eval. موقعیت موزیلا دلیل آن این است که اکثر نویسندگان افزونه های مخرب تنبل هستند و برای پنهان کردن فعالیت های مخرب به چنین تکنیک هایی متوسل نمی شوند.
در اکتبر 2017، کاتالوگ AMO گنجانده شد فرآیند بررسی مکمل جدید تأیید دستی با یک فرآیند خودکار جایگزین شد که انتظارهای طولانی در صف تأیید را از بین برد و سرعت تحویل نسخه های جدید به کاربران را افزایش داد. در عین حال، تأیید دستی به طور کامل لغو نمی شود، اما به طور انتخابی برای اضافات از قبل ارسال شده انجام می شود. موارد اضافی برای بررسی دستی بر اساس عوامل خطر محاسبه شده انتخاب می شوند.
منبع: opennet.ru