在 Firefox 附加元件目錄中 () 大規模發布偽裝成知名專案的惡意插件。 例如,該目錄包含惡意外掛程式「Adobe Flash Player」、「ublock origin Pro」、「Adblock Flash Player」等。
當此類附加元件從目錄中刪除時,攻擊者會立即建立新帳戶並重新發布其附加元件。 例如,幾個小時前創建了一個帳戶 ,其下方有附加元件「Youtube Adblock」、「Ublock plus」、「Adblock Plus 2019」。 顯然,附加元件的描述是為了確保它們出現在搜尋查詢「Adobe Flash Player」和「Adobe Flash」的頂部。
安裝後,附加元件會要求存取您正在查看的網站上的所有資料的權限。 在操作過程中,會啟動鍵盤記錄器,將填寫表格和安裝 Cookie 的資訊傳送到主機 theridgeatdanbury.com。 附加安裝檔的名稱為「adpbe_flash_player-*.xpi」或「player_downloader-*.xpi」。 附加元件內的腳本程式碼略有不同,但它們執行的惡意操作是顯而易見的且並非隱藏的。
缺乏隱藏惡意活動的技術和極其簡單的程式碼很可能使得繞過自動化系統對附加元件進行初步審查成為可能。 同時,尚不清楚自動檢查如何忽略從附加元件到外部主機的明確且非隱藏的資料發送。
讓我們回想一下,根據 Mozilla 的說法,數位簽章驗證的引入將阻止監視用戶的惡意插件的傳播。 一些附加開發人員 基於這一立場,他們認為使用數位簽章的強制驗證機制只會給開發人員帶來困難,並導致向使用者提供修正版本所需的時間增加,而不會以任何方式影響安全性。 有很多瑣碎且顯而易見的事情 繞過對允許在不被注意的情況下插入惡意程式碼的附加元件的自動檢查,例如,透過連接多個字串來動態產生操作,然後透過呼叫 eval 執行產生的字串。 Mozilla 的立場 原因是大多數惡意附加元件的作者都很懶,不會採用此類技術來隱藏惡意活動。
2017年XNUMX月,AMO目錄包括 新的補充審查流程。 手動驗證被自動過程取代,消除了驗證佇列中的長時間等待,並提高了向使用者交付新版本的速度。 同時,人工驗證並沒有完全取消,而是對已經發布的添加有選擇性地進行。 人工審核的添加是根據計算出的風險因素來選擇的。
來源: opennet.ru