Firefoxin lisäosien hakemistossa () tunnetuiksi projekteiksi naamioitujen haitallisten lisäosien joukkojulkaisu. Hakemisto sisältää esimerkiksi haitallisia lisäosia "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player" jne.
Kun tällaiset lisäosat poistetaan luettelosta, hyökkääjät luovat välittömästi uuden tilin ja julkaisevat lisäosat uudelleen. Esimerkiksi tili luotiin muutama tunti sitten , jonka alla sijaitsevat lisäosat "Youtube Adblock", "Ublock plus", "Adblock Plus 2019". Ilmeisesti lisäosien kuvaus on muodostettu varmistamaan, että ne näkyvät yläosassa hakukyselyissä "Adobe Flash Player" ja "Adobe Flash".
Kun lisäosat on asennettu, ne pyytävät oikeuksia käyttää kaikkia tarkastelemiesi sivustojen tietoja. Toiminnan aikana käynnistetään näppäinloggeri, joka välittää tietoja lomakkeiden täyttämisestä ja asennetuista evästeistä isäntälle theridgeatdanbury.com. Lisäosien asennustiedostojen nimet ovat "adpbe_flash_player-*.xpi" tai "player_downloader-*.xpi". Lisäosien sisällä oleva komentosarjakoodi on hieman erilainen, mutta niiden suorittamat haitalliset toiminnot ovat ilmeisiä eivätkä piilotettuja.
On todennäköistä, että haitallisen toiminnan piilottamista koskevien tekniikoiden puute ja erittäin yksinkertainen koodi mahdollistavat lisäosien alustavan tarkastuksen automaattisen järjestelmän ohituksen. Samaan aikaan ei ole selvää, kuinka automaattinen tarkistus jätti huomioimatta sen tosiasian, että lisäosasta lähetettiin tietoja ulkoiseen isäntään.
Muistetaan, että Mozillan mukaan digitaalisen allekirjoituksen varmennuksen käyttöönotto estää käyttäjiä vakoilevien haitallisten lisäosien leviämisen. Jotkut lisäosien kehittäjät Tässä asennossa he uskovat, että pakollinen digitaalista allekirjoitusta käyttävä varmennusmekanismi aiheuttaa vain vaikeuksia kehittäjille ja lisää aikaa, joka kuluu korjaavien julkaisujen tuomiseen käyttäjille ilman, että se vaikuttaa turvallisuuteen millään tavalla. Niitä on monia triviaaleja ja ilmeisiä ohittaa automaattisen tarkistuksen lisäosien varalta, jotka sallivat haitallisen koodin lisäämisen huomaamatta, esimerkiksi luomalla operaation lennossa ketjuttamalla useita merkkijonoja ja suorittamalla sitten tuloksena olevan merkkijonon kutsumalla eval. Mozillan asema Syynä on se, että useimmat haitallisten lisäosien kirjoittajat ovat laiskoja eivätkä turvaudu tällaisiin tekniikoihin haitallisen toiminnan piilottamiseksi.
Lokakuussa 2017 AMO-luettelo sisälsi uusi lisäyksen tarkistusprosessi. Manuaalinen vahvistus korvattiin automaattisella prosessilla, joka eliminoi pitkät odotukset varmistusjonossa ja nosti uusien julkaisujen toimitusnopeutta käyttäjille. Samanaikaisesti manuaalista tarkistusta ei poisteta kokonaan, vaan se suoritetaan valikoivasti jo lähetetyille lisäyksille. Lisäykset manuaaliseen tarkasteluun valitaan laskettujen riskitekijöiden perusteella.
Lähde: opennet.ru