I Firefox-tilleggskatalogen () massepublisering av ondsinnede tillegg forkledd som kjente prosjekter. For eksempel inneholder katalogen ondsinnede tillegg "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player", etc.
Ettersom slike tillegg fjernes fra katalogen, oppretter angripere umiddelbart en ny konto og legger ut tilleggene sine på nytt. For eksempel ble en konto opprettet for noen timer siden , der tilleggene «Youtube Adblock», «Ublock plus», «Adblock Plus 2019» er plassert. Tilsynelatende er beskrivelsen av tilleggene laget for å sikre at de vises øverst for søkeordene "Adobe Flash Player" og "Adobe Flash".
Når de er installert, ber tilleggsprogrammer om tillatelse til å få tilgang til alle data på nettstedene du ser på. Under drift startes en keylogger, som overfører informasjon om utfylling av skjemaer og installerte informasjonskapsler til verten theridgeatdanbury.com. Navnene på tilleggsinstallasjonsfilene er "adpbe_flash_player-*.xpi" eller "player_downloader-*.xpi". Skriptkoden inne i tilleggene er litt annerledes, men de ondsinnede handlingene de utfører er åpenbare og ikke skjulte.
Det er sannsynlig at mangelen på teknikker for å skjule ondsinnet aktivitet og den ekstremt enkle koden gjør det mulig å omgå det automatiserte systemet for foreløpig gjennomgang av tillegg. Samtidig er det ikke klart hvordan den automatiserte sjekken ignorerte faktum med eksplisitt og ikke skjult sending av data fra tillegget til en ekstern vert.
La oss huske at, ifølge Mozilla, vil innføringen av digital signaturverifisering blokkere spredningen av ondsinnede tillegg som spionerer på brukere. Noen tilleggsutviklere med denne posisjonen mener de at mekanismen med obligatorisk verifisering ved bruk av en digital signatur bare skaper vanskeligheter for utviklere og fører til en økning i tiden det tar å bringe korrigerende utgivelser til brukerne, uten at det påvirker sikkerheten på noen måte. Det er mange trivielle og åpenbare å omgå den automatiserte sjekken for tilleggsprogrammer som lar skadelig kode settes inn ubemerket, for eksempel ved å generere en operasjon i farten ved å sette sammen flere strenger og deretter utføre den resulterende strengen ved å kalle eval. Mozillas posisjon Årsaken er at de fleste forfattere av ondsinnede tillegg er late og vil ikke ty til slike teknikker for å skjule ondsinnet aktivitet.
I oktober 2017 inkluderte AMO-katalogen ny prosess for gjennomgang av tillegg. Manuell verifisering ble erstattet av en automatisk prosess, som eliminerte lange ventetider i køen for verifisering og økte hastigheten på levering av nye utgivelser til brukerne. Samtidig er manuell verifisering ikke helt opphevet, men utføres selektivt for allerede postede tillegg. Tillegg for manuell gjennomgang velges basert på beregnede risikofaktorer.
Kilde: opennet.ru