V adresári doplnkov Firefoxu () hromadné zverejňovanie škodlivých doplnkov vydávaných za známe projekty. Adresár napríklad obsahuje škodlivé doplnky „Adobe Flash Player“, „ublock origin Pro“, „Adblock Flash Player“ atď.
Keď sú takéto doplnky odstránené z katalógu, útočníci si okamžite vytvoria nový účet a znova uverejnia svoje doplnky. Napríklad účet bol vytvorený pred niekoľkými hodinami , pod ktorým sa nachádzajú doplnky „Youtube Adblock“, „Ublock plus“, „Adblock Plus 2019“. Opis doplnkov je zjavne vytvorený tak, aby sa zabezpečilo, že sa zobrazia v hornej časti pre vyhľadávacie dopyty „Adobe Flash Player“ a „Adobe Flash“.
Po inštalácii si doplnky vyžiadajú povolenia na prístup ku všetkým údajom na stránkach, ktoré si prezeráte. Počas prevádzky sa spustí keylogger, ktorý prenáša informácie o vypĺňaní formulárov a nainštalovaných súboroch cookie hostiteľovi theridgeatdanbury.com. Názvy inštalačných súborov doplnkov sú „adpbe_flash_player-*.xpi“ alebo „player_downloader-*.xpi“. Kód skriptu vo vnútri doplnkov je mierne odlišný, ale škodlivé akcie, ktoré vykonávajú, sú zrejmé a nie sú skryté.
Je pravdepodobné, že nedostatok techník na skrytie škodlivých aktivít a extrémne jednoduchý kód umožňujú obísť automatizovaný systém na predbežnú kontrolu doplnkov. Zároveň nie je jasné, ako automatizovaná kontrola ignorovala skutočnosť explicitného a nie skrytého odosielania údajov z doplnku na externý hostiteľ.
Pripomeňme, že podľa Mozilly zavedenie overovania digitálneho podpisu zablokuje šírenie škodlivých doplnkov, ktoré špehujú používateľov. Niektorí vývojári doplnkov s touto pozíciou sa domnievajú, že mechanizmus povinného overovania pomocou digitálneho podpisu spôsobuje vývojárom iba ťažkosti a vedie k predĺženiu času potrebného na poskytnutie opravných vydaní používateľom bez toho, aby akýmkoľvek spôsobom ovplyvnil bezpečnosť. Existuje veľa triviálnych a zrejmých obísť automatickú kontrolu doplnkov, ktoré umožňujú nepozorované vloženie škodlivého kódu, napríklad vygenerovaním operácie za behu spojením niekoľkých reťazcov a následným spustením výsledného reťazca volaním eval. Pozícia Mozilly Dôvodom je, že väčšina autorov škodlivých doplnkov je lenivá a neuchýli sa k takýmto technikám, aby skryli škodlivú činnosť.
V októbri 2017 zaradil katalóg AMO nový proces kontroly doplnkov. Manuálne overovanie bolo nahradené automatickým procesom, ktorý eliminoval dlhé čakanie vo fronte na overenie a zvýšil rýchlosť doručovania nových vydaní používateľom. Ručné overovanie zároveň nie je úplne zrušené, ale vykonáva sa selektívne pre už zaúčtované dodatky. Prídavky na manuálnu kontrolu sa vyberajú na základe vypočítaných rizikových faktorov.
Zdroj: opennet.ru