Firefox アドオン ディレクトリ () 有名なプロジェクトを装った悪意のあるアドオンの大量公開。 たとえば、このディレクトリには、「Adobe Flash Player」、「ublockorigin Pro」、「Adblock Flash Player」などの悪意のあるアドオンが含まれています。
このようなアドオンがカタログから削除されると、攻撃者はすぐに新しいアカウントを作成し、アドオンを再投稿します。 たとえば、アカウントは数時間前に作成されました , その下にアドオン「Youtube Adblock」、「Ublock plus」、「Adblock Plus 2019」があります。 どうやら、アドオンの説明は、「Adobe Flash Player」および「Adobe Flash」という検索クエリで上位に表示されるように作成されているようです。
アドオンをインストールすると、表示しているサイト上のすべてのデータにアクセスするための許可が求められます。 動作中にキーロガーが起動され、フォームへの入力に関する情報とインストールされた Cookie がホスト theridgeatdanbury.com に送信されます。 アドオンのインストールファイル名は「adpbe_flash_player-*.xpi」または「player_downloader-*.xpi」です。 アドオン内のスクリプト コードは若干異なりますが、アドオンが実行する悪意のあるアクションは明らかであり、隠蔽されていません。
悪意のあるアクティビティを隠蔽する技術が不足していることと、コードが非常に単純であるため、アドオンの事前レビューの自動化システムをバイパスできる可能性があります。 同時に、自動チェックがアドオンから外部ホストへのデータの明示的かつ隠蔽されていない送信の事実をどのように無視したのかは明らかではありません。
Mozilla によれば、デジタル署名検証の導入により、ユーザーを監視する悪意のあるアドオンの拡散が阻止されるということを思い出してください。 一部のアドオン開発者 この立場では、デジタル署名を使用した必須検証のメカニズムは、開発者にとって困難を引き起こすだけであり、セキュリティには何ら影響を与えることなく、ユーザーに修正リリースを提供するのにかかる時間の増加につながると彼らは考えています。 些細で明白なことがたくさんあります たとえば、複数の文字列を連結してその場で操作を生成し、eval を呼び出して結果の文字列を実行することにより、悪意のあるコードが気付かれずに挿入されることを可能にするアドオンの自動チェックをバイパスします。 モジラの立場 その理由は、悪意のあるアドオンの作成者のほとんどが怠け者であり、悪意のあるアクティビティを隠すためにそのような手法に頼ろうとしないためです。
2017 年 XNUMX 月、AMO カタログに次のものが含まれました。 新しいサプリメントの審査プロセス。 手動検証が自動プロセスに置き換えられたことで、検証のキューでの長い待ち時間がなくなり、ユーザーへの新しいリリースの配信速度が向上しました。 同時に、手動検証は完全に廃止されるわけではなく、すでに投稿された追加に対して選択的に実行されます。 手動レビューのための追加は、計算されたリスク要因に基づいて選択されます。
出所: オープンネット.ru