Dalam direktori add-ons Firefox () penerbitan besar-besaran alat tambah berniat jahat yang menyamar sebagai projek terkenal. Sebagai contoh, direktori mengandungi alat tambah berniat jahat "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player", dsb.
Oleh kerana alat tambah tersebut dialih keluar daripada katalog, penyerang segera membuat akaun baharu dan menyiarkan semula alat tambah mereka. Sebagai contoh, akaun telah dibuat beberapa jam yang lalu , di mana terdapat alat tambah “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019”. Nampaknya, perihalan alat tambah dibentuk untuk memastikan ia muncul di bahagian atas untuk pertanyaan carian "Adobe Flash Player" dan "Adobe Flash".
Apabila dipasang, alat tambah meminta kebenaran untuk mengakses semua data pada tapak yang anda lihat. Semasa operasi, keylogger dilancarkan, yang menghantar maklumat tentang mengisi borang dan memasang Kuki kepada hos theridgeatdanbury.com. Nama fail pemasangan tambahan ialah “adpbe_flash_player-*.xpi” atau “player_downloader-*.xpi”. Kod skrip di dalam alat tambah sedikit berbeza, tetapi tindakan berniat jahat yang mereka lakukan adalah jelas dan tidak tersembunyi.
Kemungkinan kekurangan teknik untuk menyembunyikan aktiviti berniat jahat dan kod yang sangat mudah memungkinkan untuk memintas sistem automatik untuk semakan awal alat tambah. Pada masa yang sama, tidak jelas bagaimana semakan automatik mengabaikan fakta penghantaran data yang jelas dan tidak tersembunyi daripada alat tambah kepada hos luaran.
Mari kita ingat bahawa, menurut Mozilla, pengenalan pengesahan tandatangan digital akan menyekat penyebaran alat tambah berniat jahat yang mengintip pengguna. Beberapa pembangun tambahan dengan kedudukan ini, mereka percaya bahawa mekanisme pengesahan mandatori menggunakan tandatangan digital hanya menimbulkan kesukaran untuk pembangun dan membawa kepada peningkatan dalam masa yang diambil untuk membawa keluaran pembetulan kepada pengguna, tanpa menjejaskan keselamatan dalam apa cara sekalipun. Terdapat banyak perkara remeh dan jelas untuk memintas semakan automatik untuk alat tambah yang membenarkan kod hasad dimasukkan tanpa disedari, contohnya, dengan menjana operasi dengan cepat dengan menggabungkan beberapa rentetan dan kemudian melaksanakan rentetan yang terhasil dengan memanggil eval. kedudukan Mozilla Sebabnya ialah kebanyakan pengarang alat tambah berniat jahat malas dan tidak akan menggunakan teknik sedemikian untuk menyembunyikan aktiviti berniat jahat.
Pada Oktober 2017, katalog AMO disertakan proses semakan suplemen baharu. Pengesahan manual telah digantikan dengan proses automatik, yang menghapuskan menunggu lama dalam baris gilir untuk pengesahan dan meningkatkan kelajuan penghantaran keluaran baharu kepada pengguna. Pada masa yang sama, pengesahan manual tidak dimansuhkan sepenuhnya, tetapi dijalankan secara terpilih untuk penambahan yang telah disiarkan. Penambahan untuk semakan manual dipilih berdasarkan faktor risiko yang dikira.
Sumber: opennet.ru