W katalogu dodatków Firefoksa () masowa publikacja szkodliwych dodatków udających dobrze znane projekty. Na przykład katalog zawiera złośliwe dodatki „Adobe Flash Player”, „ublock origin Pro”, „Adblock Flash Player” itp.
Gdy takie dodatki są usuwane z katalogu, napastnicy natychmiast tworzą nowe konto i ponownie publikują swoje dodatki. Na przykład konto zostało utworzone kilka godzin temu , pod którym znajdują się dodatki „Youtube Adblock”, „Ublock plus”, „Adblock Plus 2019”. Najwyraźniej opis dodatków jest tworzony w taki sposób, aby zapewnić ich pojawienie się na górze w przypadku zapytań „Adobe Flash Player” i „Adobe Flash”.
Po zainstalowaniu dodatki proszą o pozwolenie na dostęp do wszystkich danych w przeglądanych witrynach. Podczas działania uruchamiany jest keylogger, który przekazuje informacje o wypełnieniu formularzy i zainstalowanych plikach Cookies do hosta theridgeatdanbury.com. Nazwy plików instalacyjnych dodatków to „adpbe_flash_player-*.xpi” lub „player_downloader-*.xpi”. Kod skryptu wewnątrz dodatków jest nieco inny, ale wykonywane przez nie szkodliwe działania są oczywiste i nie są ukryte.
Jest prawdopodobne, że brak technik ukrywania szkodliwej aktywności oraz niezwykle prosty kod umożliwiają ominięcie zautomatyzowanego systemu wstępnego przeglądu dodatków. Jednocześnie nie jest jasne, w jaki sposób automatyczna kontrola zignorowała fakt jawnego i nieukrytego wysyłania danych z dodatku do zewnętrznego hosta.
Przypomnijmy, że zdaniem Mozilli wprowadzenie weryfikacji podpisu cyfrowego zablokuje rozprzestrzenianie się szkodliwych dodatków szpiegujących użytkowników. Niektórzy twórcy dodatków zajmując takie stanowisko uważają, że mechanizm obowiązkowej weryfikacji przy użyciu podpisu cyfrowego stwarza jedynie trudności dla programistów i prowadzi do wydłużenia czasu potrzebnego na dostarczenie użytkownikom poprawek, nie wpływając w żaden sposób na bezpieczeństwo. Jest wiele trywialnych i oczywistych aby ominąć automatyczne sprawdzanie dodatków, które pozwalają na niezauważone wstawienie złośliwego kodu, na przykład poprzez wygenerowanie operacji w locie poprzez połączenie kilku ciągów, a następnie wykonanie powstałego ciągu poprzez wywołanie eval. Stanowisko Mozilli Powodem jest to, że większość autorów złośliwych dodatków jest leniwa i nie ucieka się do takich technik, aby ukryć złośliwą aktywność.
W październiku 2017 roku dołączono katalog AMO nowy proces przeglądu suplementów. Weryfikację ręczną zastąpiono procesem automatycznym, co wyeliminowało długie oczekiwanie w kolejce na weryfikację i zwiększyło szybkość dostarczania nowości użytkownikom. Jednocześnie ręczna weryfikacja nie jest całkowicie zniesiona, ale jest przeprowadzana wybiórczo dla już opublikowanych dodatków. Dodatki do ręcznego przeglądu wybiera się na podstawie obliczonych czynników ryzyka.
Źródło: opennet.ru