I Firefox tilläggskatalog () masspublicering av skadliga tillägg förklädda till välkända projekt. Till exempel innehåller katalogen skadliga tillägg "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player", etc.
Eftersom sådana tillägg tas bort från katalogen skapar angripare omedelbart ett nytt konto och lägger upp sina tillägg igen. Till exempel skapades ett konto för några timmar sedan , under vilka tilläggen "Youtube Adblock", "Ublock plus", "Adblock Plus 2019" finns. Tydligen är beskrivningen av tilläggen utformad för att säkerställa att de visas överst för sökfrågorna "Adobe Flash Player" och "Adobe Flash".
När de är installerade ber tillägg om behörighet att komma åt all data på de webbplatser du tittar på. Under drift startas en keylogger som sänder information om att fylla i formulär och installerade cookies till värden theridgeatdanbury.com. Namnen på tilläggsinstallationsfilerna är "adpbe_flash_player-*.xpi" eller "player_downloader-*.xpi". Skriptkoden inuti tilläggen är något annorlunda, men de skadliga åtgärderna de utför är uppenbara och inte dolda.
Det är troligt att avsaknaden av tekniker för att dölja skadlig aktivitet och den extremt enkla koden gör det möjligt att kringgå det automatiserade systemet för preliminär granskning av tillägg. Samtidigt är det inte klart hur den automatiserade kontrollen ignorerade faktumet av explicit och inte dold sändning av data från tillägget till en extern värd.
Låt oss komma ihåg att, enligt Mozilla, kommer införandet av digital signaturverifiering att blockera spridningen av skadliga tillägg som spionerar på användare. Vissa tilläggsutvecklare med denna ståndpunkt tror de att mekanismen för obligatorisk verifiering med hjälp av en digital signatur bara skapar svårigheter för utvecklare och leder till en ökning av tiden det tar att föra ut korrigerande utgåvor till användarna, utan att det påverkar säkerheten på något sätt. Det finns många triviala och uppenbara att kringgå den automatiska kontrollen efter tillägg som tillåter att skadlig kod infogas obemärkt, till exempel genom att generera en operation i farten genom att sammanfoga flera strängar och sedan exekvera den resulterande strängen genom att anropa eval. Mozillas position Anledningen är att de flesta författare av skadliga tillägg är lata och kommer inte att ta till sådana tekniker för att dölja skadlig aktivitet.
I oktober 2017 inkluderade AMO-katalogen ny process för granskning av tillägg. Manuell verifiering ersattes av en automatisk process, vilket eliminerade långa väntetider i kön för verifiering och ökade hastigheten för leverans av nya releaser till användare. Samtidigt avskaffas inte manuell verifiering helt, utan utförs selektivt för redan upplagda tillägg. Tillägg för manuell granskning väljs utifrån beräknade riskfaktorer.
Källa: opennet.ru