In de Firefox-add-onsmap () massale publicatie van kwaadaardige add-ons, vermomd als bekende projecten. De map bevat bijvoorbeeld kwaadaardige add-ons “Adobe Flash Player”, “ublock origin Pro”, “Adblock Flash Player”, enz.
Als dergelijke add-ons uit de catalogus worden verwijderd, maken aanvallers onmiddellijk een nieuw account aan en plaatsen ze hun add-ons opnieuw. Er is bijvoorbeeld een paar uur geleden een account aangemaakt , waaronder de add-ons “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019” zich bevinden. Blijkbaar is de beschrijving van de add-ons gevormd om ervoor te zorgen dat ze bovenaan verschijnen bij de zoekopdrachten “Adobe Flash Player” en “Adobe Flash”.
Na installatie vragen add-ons om toestemming voor toegang tot alle gegevens op de sites die u bekijkt. Tijdens de werking wordt een keylogger gelanceerd, die informatie over het invullen van formulieren en geïnstalleerde cookies naar de host theridgeatdanbury.com verzendt. De namen van de add-on-installatiebestanden zijn “adpbe_flash_player-*.xpi” of “player_downloader-*.xpi”. De scriptcode in de add-ons is enigszins anders, maar de kwaadaardige acties die ze uitvoeren zijn duidelijk en niet verborgen.
Het is waarschijnlijk dat het gebrek aan technieken om kwaadaardige activiteiten te verbergen en de uiterst eenvoudige code het mogelijk maken om het geautomatiseerde systeem te omzeilen voor een voorlopige beoordeling van add-ons. Tegelijkertijd is het niet duidelijk hoe de geautomatiseerde controle het feit negeerde van het expliciet en niet verborgen verzenden van gegevens van de add-on naar een externe host.
Laten we niet vergeten dat volgens Mozilla de introductie van verificatie van digitale handtekeningen de verspreiding van kwaadaardige add-ons die gebruikers bespioneren, zal blokkeren. Sommige add-on-ontwikkelaars Met dit standpunt zijn zij van mening dat het mechanisme van verplichte verificatie met behulp van een digitale handtekening alleen maar problemen voor ontwikkelaars oplevert en leidt tot een toename van de tijd die nodig is om corrigerende releases naar gebruikers te brengen, zonder de veiligheid op enigerlei wijze aan te tasten. Er zijn veel triviale en voor de hand liggende om het geautomatiseerde add-on-controlesysteem te omzeilen waarmee kwaadaardige code onopgemerkt kan worden ingevoegd, bijvoorbeeld door direct een bewerking te genereren door verschillende strings aaneen te schakelen en vervolgens de resulterende string uit te voeren door eval aan te roepen. Mozilla's standpunt De reden hiervoor is dat de meeste auteurs van kwaadaardige add-ons lui zijn en geen toevlucht zullen nemen tot dergelijke technieken om kwaadaardige activiteiten te verbergen.
In oktober 2017 is de AMO-catalogus opgenomen nieuw supplementbeoordelingsproces. Handmatige verificatie werd vervangen door een automatisch proces, waardoor lange wachtrijen voor verificatie werden geëlimineerd en de leveringssnelheid van nieuwe releases aan gebruikers werd verhoogd. Tegelijkertijd wordt de handmatige verificatie niet volledig afgeschaft, maar selectief uitgevoerd voor reeds geplaatste toevoegingen. Toevoegingen voor handmatige beoordeling worden geselecteerd op basis van berekende risicofactoren.
Bron: opennet.ru