No diretório de complementos do Firefox () publicação em massa de complementos maliciosos disfarçados de projetos bem conhecidos. Por exemplo, o diretório contém complementos maliciosos “Adobe Flash Player”, “ublock origin Pro”, “Adblock Flash Player”, etc.
À medida que esses complementos são removidos do catálogo, os invasores criam imediatamente uma nova conta e publicam novamente seus complementos. Por exemplo, uma conta foi criada há algumas horas , sob o qual estão localizados os add-ons “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019”. Aparentemente, a descrição dos add-ons é formada para garantir que eles apareçam no topo nas consultas de pesquisa “Adobe Flash Player” e “Adobe Flash”.
Quando instalados, os complementos solicitam permissões para acessar todos os dados dos sites que você está visualizando. Durante a operação, é lançado um keylogger, que transmite informações sobre preenchimento de formulários e Cookies instalados para o host theridgeatdanbury.com. Os nomes dos arquivos de instalação do complemento são “adpbe_flash_player-*.xpi” ou “player_downloader-*.xpi”. O código do script dentro dos complementos é um pouco diferente, mas as ações maliciosas que eles executam são óbvias e não ocultas.
É provável que a falta de técnicas para ocultar atividades maliciosas e o código extremamente simples tornem possível contornar o sistema automatizado de revisão preliminar de complementos. Ao mesmo tempo, não está claro como a verificação automatizada ignorou o fato do envio explícito e não oculto de dados do add-on para um host externo.
Recorde-se que, segundo a Mozilla, a introdução da verificação de assinatura digital irá bloquear a propagação de add-ons maliciosos que espionam os utilizadores. Alguns desenvolvedores de complementos com esse posicionamento, acreditam que o mecanismo de verificação obrigatória por assinatura digital apenas cria dificuldades para os desenvolvedores e leva ao aumento do tempo para trazer liberações corretivas aos usuários, sem afetar em nada a segurança. Existem muitas coisas triviais e óbvias para ignorar a verificação automatizada de complementos que permitem a inserção de código malicioso despercebido, por exemplo, gerando uma operação em tempo real concatenando várias strings e, em seguida, executando a string resultante chamando eval. Posição da Mozilla A razão é que a maioria dos autores de complementos maliciosos são preguiçosos e não recorrem a tais técnicas para ocultar atividades maliciosas.
Em outubro de 2017, o catálogo AMO incluiu novo processo de revisão de suplementos. A verificação manual foi substituída por um processo automático, que eliminou longas esperas na fila de verificação e aumentou a velocidade de entrega de novos lançamentos aos usuários. Ao mesmo tempo, a verificação manual não é totalmente abolida, mas é realizada seletivamente para acréscimos já publicados. As adições para revisão manual são selecionadas com base em fatores de risco calculados.
Fonte: opennet.ru