V imeniku dodatkov Firefox () množično objavljanje zlonamernih dodatkov, zamaskiranih v znane projekte. Imenik na primer vsebuje zlonamerne dodatke »Adobe Flash Player«, »ublock origin Pro«, »Adblock Flash Player« itd.
Ko so takšni dodatki odstranjeni iz kataloga, napadalci takoj ustvarijo nov račun in ponovno objavijo svoje dodatke. Na primer, račun je bil ustvarjen pred nekaj urami , pod katerim se nahajajo dodatki “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019”. Očitno je opis dodatkov oblikovan tako, da se prikažejo na vrhu za iskalne poizvedbe »Adobe Flash Player« in »Adobe Flash«.
Ko so nameščeni, dodatki zahtevajo dovoljenja za dostop do vseh podatkov na spletnih mestih, ki si jih ogledujete. Med delovanjem se zažene keylogger, ki posreduje informacije o izpolnjevanju obrazcev in nameščenih piškotkih gostitelju theridgeatdanbury.com. Imena namestitvenih datotek dodatkov so »adpbe_flash_player-*.xpi« ali »player_downloader-*.xpi«. Koda skripta znotraj dodatkov je nekoliko drugačna, vendar so zlonamerna dejanja, ki jih izvajajo, očitna in niso skrita.
Verjetno je, da pomanjkanje tehnik za skrivanje zlonamerne dejavnosti in izjemno preprosta koda omogočata obhod avtomatiziranega sistema za predhodni pregled dodatkov. Hkrati ni jasno, kako je avtomatsko preverjanje prezrlo dejstvo eksplicitnega in ne prikritega pošiljanja podatkov iz dodatka zunanjemu gostitelju.
Spomnimo, po mnenju Mozille bo uvedba preverjanja digitalnega podpisa preprečila širjenje zlonamernih dodatkov, ki vohunijo za uporabniki. Nekateri razvijalci dodatkov s tem stališčem menijo, da mehanizem obveznega preverjanja z uporabo digitalnega podpisa ustvarja samo težave razvijalcem in vodi v podaljševanje časa, ki je potreben za prenos korektivnih izdaj uporabnikom, ne da bi kakorkoli vplival na varnost. Veliko je trivialnih in očitnih da se izognete avtomatiziranemu preverjanju dodatkov, ki omogočajo neopazno vstavljanje zlonamerne kode, na primer tako, da sprotno generirate operacijo z združevanjem več nizov in nato izvedete dobljeni niz s klicem eval. Stališče Mozille Razlog je v tem, da je večina avtorjev zlonamernih dodatkov lenih in se ne bodo zatekli k takim tehnikam, da bi skrili zlonamerno dejavnost.
Oktobra 2017 vključen katalog AMO nov postopek pregleda dodatkov. Ročno preverjanje je zamenjal samodejni proces, ki je odpravil dolgotrajno čakanje v čakalni vrsti za preverjanje in povečal hitrost dostave novih objav uporabnikom. Pri tem ročno preverjanje ni v celoti odpravljeno, ampak se izvaja selektivno za že objavljene dodatke. Dodatki za ročni pregled so izbrani na podlagi izračunanih dejavnikov tveganja.
Vir: opennet.ru