Nella directory dei componenti aggiuntivi di Firefox () pubblicazione di massa di componenti aggiuntivi dannosi mascherati da progetti noti. Ad esempio, la directory contiene componenti aggiuntivi dannosi “Adobe Flash Player”, “ublock origin Pro”, “Adblock Flash Player”, ecc.
Quando tali componenti aggiuntivi vengono rimossi dal catalogo, gli aggressori creano immediatamente un nuovo account e ripubblicano i propri componenti aggiuntivi. Ad esempio, un account è stato creato poche ore fa , sotto il quale si trovano i componenti aggiuntivi “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019”. A quanto pare, la descrizione dei componenti aggiuntivi è fatta per garantire che appaiano in alto per le query di ricerca “Adobe Flash Player” e “Adobe Flash”.
Una volta installati, i componenti aggiuntivi richiedono le autorizzazioni per accedere a tutti i dati sui siti che stai visualizzando. Durante il funzionamento viene avviato un keylogger che trasmette informazioni sulla compilazione di moduli e sui cookie installati all'host theridgeatdanbury.com. I nomi dei file di installazione dei componenti aggiuntivi sono "adpbe_flash_player-*.xpi" o "player_downloader-*.xpi". Il codice dello script all'interno dei componenti aggiuntivi è leggermente diverso, ma le azioni dannose che eseguono sono evidenti e non nascoste.
È probabile che la mancanza di tecniche per nascondere attività dannose e il codice estremamente semplice consentano di aggirare il sistema automatizzato per l'esame preliminare dei componenti aggiuntivi. Allo stesso tempo, non è chiaro come il controllo automatizzato abbia ignorato il fatto dell'invio esplicito e non nascosto dei dati dal componente aggiuntivo a un host esterno.
Ricordiamo che, secondo Mozilla, l'introduzione della verifica della firma digitale bloccherà la diffusione di componenti aggiuntivi dannosi che spiano gli utenti. Alcuni sviluppatori aggiuntivi con questa posizione, ritengono che il meccanismo di verifica obbligatoria mediante firma digitale crei solo difficoltà agli sviluppatori e porti ad un aumento del tempo necessario per portare versioni correttive agli utenti, senza compromettere in alcun modo la sicurezza. Ce ne sono molti banali e ovvi per aggirare il controllo automatico dei componenti aggiuntivi che consentono l'inserimento inosservato di codice dannoso, ad esempio generando un'operazione al volo concatenando più stringhe e quindi eseguendo la stringa risultante chiamando eval. La posizione di Mozilla Il motivo è che la maggior parte degli autori di componenti aggiuntivi dannosi sono pigri e non ricorrono a tali tecniche per nascondere attività dannose.
Nell'ottobre 2017 è incluso il catalogo AMO nuovo processo di revisione degli integratori. La verifica manuale è stata sostituita da un processo automatico, che ha eliminato le lunghe attese in coda per la verifica e ha aumentato la velocità di consegna delle nuove versioni agli utenti. Allo stesso tempo, la verifica manuale non viene completamente abolita, ma viene effettuata selettivamente per le aggiunte già pubblicate. Le aggiunte per la revisione manuale vengono selezionate in base a fattori di rischio calcolati.
Fonte: opennet.ru