În directorul de suplimente pentru Firefox () publicarea în masă a suplimentelor rău intenționate deghizate în proiecte binecunoscute. De exemplu, directorul conține suplimente rău intenționate „Adobe Flash Player”, „ublock origin Pro”, „Adblock Flash Player”, etc.
Pe măsură ce astfel de suplimente sunt eliminate din catalog, atacatorii își creează imediat un cont nou și își repostează suplimentele. De exemplu, un cont a fost creat acum câteva ore , sub care se află suplimentele „Youtube Adblock”, „Ublock plus”, „Adblock Plus 2019”. Aparent, descrierea suplimentelor este formată pentru a se asigura că apar în partea de sus pentru interogările de căutare „Adobe Flash Player” și „Adobe Flash”.
Când sunt instalate, suplimentele cer permisiunea de a accesa toate datele de pe site-urile pe care le vizualizați. În timpul funcționării, este lansat un keylogger, care transmite informații despre completarea formularelor și cookie-urile instalate către gazda theridgeatdanbury.com. Numele fișierelor de instalare a suplimentelor sunt „adpbe_flash_player-*.xpi” sau „player_downloader-*.xpi”. Codul de script din interiorul suplimentelor este ușor diferit, dar acțiunile rău intenționate pe care le efectuează sunt evidente și nu sunt ascunse.
Este probabil ca lipsa tehnicilor de ascundere a activității rău intenționate și codul extrem de simplu să facă posibilă ocolirea sistemului automatizat pentru revizuirea preliminară a suplimentelor. În același timp, nu este clar cum verificarea automată a ignorat faptul trimiterii explicite și nu ascunse a datelor de la supliment la o gazdă externă.
Să ne amintim că, potrivit Mozilla, introducerea verificării semnăturii digitale va bloca răspândirea suplimentelor rău intenționate care spionează utilizatorii. Unii dezvoltatori de suplimente cu această poziție, ei consideră că mecanismul de verificare obligatorie folosind o semnătură digitală nu face decât să creeze dificultăți dezvoltatorilor și duce la creșterea timpului necesar pentru a aduce utilizatorilor lansări corective, fără a afecta în vreun fel securitatea. Sunt multe banale și evidente pentru a ocoli verificarea automată a suplimentelor care permit introducerea neobservată a codului rău intenționat, de exemplu, prin generarea unei operații din mers prin concatenarea mai multor șiruri și apoi executarea șirului rezultat prin apelarea eval. Poziția lui Mozilla Motivul este că majoritatea autorilor de suplimente rău intenționate sunt leneși și nu vor recurge la astfel de tehnici pentru a ascunde activitățile rău intenționate.
În octombrie 2017, catalogul AMO a inclus noul proces de examinare a suplimentului. Verificarea manuală a fost înlocuită cu un proces automat, care a eliminat așteptările lungi în coadă pentru verificare și a crescut viteza de livrare a noilor versiuni către utilizatori. În același timp, verificarea manuală nu este complet eliminată, ci este efectuată selectiv pentru completările deja postate. Adăugările pentru revizuirea manuală sunt selectate pe baza factorilor de risc calculați.
Sursa: opennet.ru