Firefox pievienojumprogrammu direktorijā () masveida ļaunprātīgu pievienojumprogrammu publicēšana, kas maskēta kā labi zināmi projekti. Piemēram, direktorijā ir ļaunprātīgi papildinājumi “Adobe Flash Player”, “ublock origin Pro”, “Adblock Flash Player” utt.
Tā kā šādi papildinājumi tiek izņemti no kataloga, uzbrucēji nekavējoties izveido jaunu kontu un atkārtoti publicē savus papildinājumus. Piemēram, konts tika izveidots pirms dažām stundām , zem kura atrodas papildinājumi “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019”. Acīmredzot papildinājumu apraksts ir izveidots, lai nodrošinātu, ka tie parādās augšpusē meklēšanas vaicājumiem “Adobe Flash Player” un “Adobe Flash”.
Kad pievienojumprogrammas ir instalētas, tās pieprasa atļaujas piekļūt visiem datiem jūsu skatītajās vietnēs. Darbības laikā tiek palaists taustiņu reģistrators, kas pārsūta informāciju par veidlapu aizpildīšanu un instalētajiem sīkfailiem resursdatoram theridgeatdanbury.com. Papildinājumu instalācijas failu nosaukumi ir “adpbe_flash_player-*.xpi” vai “player_downloader-*.xpi”. Skripta kods papildinājumu iekšpusē ir nedaudz atšķirīgs, taču to veiktās ļaunprātīgās darbības ir acīmredzamas un nav slēptas.
Visticamāk, ka ļaunprātīgas darbības slēpšanas paņēmienu trūkums un ārkārtīgi vienkāršais kods ļauj apiet automatizēto sistēmu iepriekšējai papildinājumu pārskatīšanai. Tajā pašā laikā nav skaidrs, kā automatizētajā pārbaudē tika ignorēts fakts, ka dati ir skaidri un neslēpti nosūtīti no papildinājuma uz ārēju resursdatoru.
Atgādināsim, ka, pēc Mozilla domām, digitālā paraksta pārbaudes ieviešana bloķēs ļaunprātīgu papildinājumu izplatību, kas izspiego lietotājus. Daži papildinājumu izstrādātāji ar šo nostāju viņi uzskata, ka obligātās verifikācijas mehānisms, izmantojot digitālo parakstu, tikai rada grūtības izstrādātājiem un palielina laiku, kas nepieciešams, lai lietotājiem sniegtu koriģējošus izdevumus, nekādā veidā neietekmējot drošību. Ir daudz triviālu un acīmredzamu lai apietu automātisko pārbaudi par papildinājumiem, kas ļauj nepamanīti ievietot ļaunprātīgu kodu, piemēram, lidojumā ģenerējot darbību, savienojot vairākas virknes un pēc tam izpildot iegūto virkni, izsaucot eval. Mozillas pozīcija Iemesls ir tāds, ka lielākā daļa ļaunprātīgu papildinājumu autoru ir slinki un neizmantos šādas metodes, lai slēptu ļaunprātīgu darbību.
2017. gada oktobrī AMO katalogā bija iekļauts jauns papildinājums pārskatīšanas process. Manuālā pārbaude tika aizstāta ar automātisku procesu, kas novērsa ilgstošu gaidīšanu rindā verifikācijai un palielināja jauno laidienu piegādes ātrumu lietotājiem. Tajā pašā laikā manuālā pārbaude netiek pilnībā atcelta, bet tiek veikta selektīvi jau ievietotiem papildinājumiem. Papildinājumi manuālai pārskatīšanai tiek atlasīti, pamatojoties uz aprēķinātajiem riska faktoriem.
Avots: opennet.ru