A Firefox kiegészítők könyvtárában () rosszindulatú kiegészítők tömeges közzététele jól ismert projekteknek álcázva. Például a könyvtár rosszindulatú kiegészítőket tartalmaz „Adobe Flash Player”, „ublock origin Pro”, „Adblock Flash Player” stb.
Mivel az ilyen bővítményeket eltávolítják a katalógusból, a támadók azonnal új fiókot hoznak létre, és újból közzéteszik bővítményeiket. Például néhány órával ezelőtt létrehoztak egy fiókot , amely alatt a „Youtube Adblock”, „Ublock plus”, „Adblock Plus 2019” kiegészítők találhatók. Úgy tűnik, a kiegészítők leírása úgy van kialakítva, hogy az „Adobe Flash Player” és az „Adobe Flash” keresési lekérdezéseknél a tetején jelenjenek meg.
Telepítéskor a bővítmények engedélyt kérnek a megtekintett webhelyeken található összes adat eléréséhez. Működés közben elindul egy keylogger, amely az űrlapok kitöltésével és a telepített cookie-kkal kapcsolatos információkat továbbítja a theridgeatdanbury.com tárhelynek. A kiegészítő telepítőfájlok neve „adpbe_flash_player-*.xpi” vagy „player_downloader-*.xpi”. A kiegészítőkben található szkript kódja kissé eltér, de az általuk végrehajtott rosszindulatú műveletek nyilvánvalóak és nem rejtettek.
Valószínű, hogy a rosszindulatú tevékenységek elrejtésére szolgáló technikák hiánya és a rendkívül egyszerű kód lehetővé teszi az automatizált rendszer megkerülését a kiegészítők előzetes felülvizsgálatához. Ugyanakkor nem világos, hogy az automatizált ellenőrzés hogyan hagyta figyelmen kívül az explicit és nem rejtett adatküldést a bővítményről egy külső gazdagépre.
Emlékezzünk vissza, hogy a Mozilla szerint a digitális aláírás-ellenőrzés bevezetése megakadályozza a felhasználók után kémkedő rosszindulatú kiegészítők terjedését. Néhány kiegészítő fejlesztő ezzel az állásponttal úgy vélik, hogy a kötelező, digitális aláírással történő ellenőrzés mechanizmusa csak nehézségeket okoz a fejlesztőknek, és megnöveli a korrekciós kiadások felhasználóihoz való eljuttatásának idejét anélkül, hogy a biztonságot bármilyen módon befolyásolná. Sok triviális és nyilvánvaló megkerülni az olyan kiegészítők automatikus ellenőrzését, amelyek lehetővé teszik a rosszindulatú kód észrevétlen beszúrását, például úgy, hogy több karakterlánc összefűzésével menet közben generál egy műveletet, majd az eval meghívásával végrehajtja a kapott karakterláncot. A Mozilla helyzete Ennek az az oka, hogy a rosszindulatú kiegészítők legtöbb szerzője lusta, és nem folyamodik ilyen technikákhoz a rosszindulatú tevékenységek elrejtésére.
2017 októberében az AMO katalógusa tartalmazta új kiegészítés felülvizsgálati folyamat. A kézi ellenőrzést felváltotta egy automatikus folyamat, amely kiküszöbölte a hosszú várakozást az ellenőrzési sorban, és megnövelte az új kiadások kézbesítési sebességét a felhasználók számára. Ugyanakkor a kézi ellenőrzést nem szüntetik meg teljesen, hanem szelektíven hajtják végre a már közzétett kiegészítéseknél. A manuális felülvizsgálathoz szükséges kiegészítéseket a kiszámított kockázati tényezők alapján választjuk ki.
Forrás: opennet.ru