斧頭幾天前掉下來了。 Mozilla 決定刪除 23 個 Firefox 擴展,認為它們缺乏安全性並收集了太多個人資料。這些擴充使得下載線上影片或評估使用者造訪的網頁的安全性成為可能。但根據豪爾赫·比利亞洛博斯Mozilla 工程師表示,這些擴充功能收集的資料超出了必要的範圍,儘管這些資料是透過 HTTP 未加密發送的。最後,這些程序包含後門“部分隱藏”啟用遠端程式碼執行。
這些擴充功能的名稱包括 Browser Security、Smart Tube、Dirty Little Helpers、Quick AMZ 或 Web Security。不久前,Firefox 官方部落格甚至推薦了後者。由於它們都共享相同程式碼的一部分,Mozilla 認為它們可能來自“同一個人或團體”。
後門可能是個疏忽
此後,其中一個實體出現在 Mozilla 網站上,即德國公司 Creative Software Solutions GmbH。它聲稱是 23 個被阻止的擴充功能中的 6 個的作者,其中包括 Web Security。在一份長篇回覆中,她聲稱收集的數據不允許識別用戶身份,僅用於安全或統計目的。它確認資料傳輸沒有加密,並宣布它已經糾正了這個錯誤。
關於後門,出版商解釋說這是一個不幸的疏忽。「這是我們很久以前實現的功能,當時(擴展的)更新隊列太長,很難做出重大修復。因此,我們使用[此代碼]在出版物方面更加靈活”,出版商解釋說,他承諾將來會刪除此功能。“我們對這次事件感到遺憾,並希望有機會重新獲得用戶對我們的信任””,創意軟體解決方案經理 Fabian Simon 總結道。但目前,Mozilla 尚未改變其決定。
