Di direktori add-on Firefox () publikasi massal add-on berbahaya yang disamarkan sebagai proyek terkenal. Misalnya, direktori tersebut berisi add-on berbahaya “Adobe Flash Player”, “ublock origin Pro”, “Adblock Flash Player”, dll.
Ketika add-on tersebut dihapus dari katalog, penyerang segera membuat akun baru dan memposting ulang add-on mereka. Misalnya akun dibuat beberapa jam yang lalu , di mana add-on “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019” berada. Tampaknya, deskripsi add-on tersebut dibuat untuk memastikan bahwa add-on tersebut muncul di bagian atas permintaan pencarian “Adobe Flash Player” dan “Adobe Flash”.
Saat dipasang, add-on meminta izin untuk mengakses semua data di situs yang Anda lihat. Selama operasi, keylogger diluncurkan, yang mengirimkan informasi tentang pengisian formulir dan menginstal Cookie ke host theridgeatdanbury.com. Nama file instalasi add-on adalah “adpbe_flash_player-*.xpi” atau “player_downloader-*.xpi”. Kode skrip di dalam add-on sedikit berbeda, tetapi tindakan jahat yang dilakukannya terlihat jelas dan tidak tersembunyi.
Kemungkinan besar kurangnya teknik untuk menyembunyikan aktivitas jahat dan kode yang sangat sederhana memungkinkan untuk melewati sistem otomatis untuk peninjauan awal add-on. Pada saat yang sama, tidak jelas bagaimana pemeriksaan otomatis mengabaikan fakta pengiriman data yang eksplisit dan tidak tersembunyi dari add-on ke host eksternal.
Ingatlah bahwa, menurut Mozilla, penerapan verifikasi tanda tangan digital akan memblokir penyebaran add-on berbahaya yang memata-matai pengguna. Beberapa pengembang tambahan dengan posisi ini, mereka percaya bahwa mekanisme verifikasi wajib menggunakan tanda tangan digital hanya menimbulkan kesulitan bagi pengembang dan menyebabkan peningkatan waktu yang diperlukan untuk memberikan rilis perbaikan kepada pengguna, tanpa mempengaruhi keamanan dengan cara apa pun. Ada banyak hal yang sepele dan jelas untuk melewati pemeriksaan otomatis untuk add-on yang memungkinkan kode berbahaya dimasukkan tanpa diketahui, misalnya, dengan membuat operasi dengan cepat dengan menggabungkan beberapa string dan kemudian mengeksekusi string yang dihasilkan dengan memanggil eval. posisi Mozilla Alasannya adalah sebagian besar pembuat add-on berbahaya adalah orang yang malas dan tidak akan menggunakan teknik tersebut untuk menyembunyikan aktivitas jahat.
Pada bulan Oktober 2017, katalog AMO disertakan proses peninjauan suplemen baru. Verifikasi manual digantikan oleh proses otomatis, yang menghilangkan antrean panjang untuk verifikasi dan meningkatkan kecepatan pengiriman rilis baru ke pengguna. Pada saat yang sama, verifikasi manual tidak sepenuhnya dihapuskan, tetapi dilakukan secara selektif untuk penambahan yang sudah diposting. Penambahan untuk tinjauan manual dipilih berdasarkan faktor risiko yang dihitung.
Sumber: opennet.ru