ข้อบกพร่องทำให้ส่วนขยายที่เป็นอันตรายสามารถใช้ฟังก์ชันการทำงานของส่วนขยายอื่นๆ เพื่อแย่งชิงคอมพิวเตอร์ของผู้ใช้ได้ ในบรรดาส่วนขยาย Firefox 10 อันดับแรก มีช่องโหว่ทั้งหมด... ยกเว้น AdBlock Plus
ส่วนขยายของ Firefox ได้รับความนิยมอย่างมากในหมู่ผู้ใช้อินเทอร์เน็ต ช่วยให้คุณสามารถเพิ่มฟังก์ชันการทำงานที่เป็นประโยชน์ให้กับเบราว์เซอร์ได้ เช่น ดาวน์โหลดวิดีโอ เข้าถึงฐานข้อมูลรหัสผ่าน บล็อกโฆษณา ฯลฯ แต่การเพิ่มซอฟต์แวร์เหล่านี้ยังทำให้เกิดช่องโหว่ที่นักวิจัยด้านความปลอดภัยสองคนเพิ่งนำเสนอในการประชุม BlackHat Asia 2016
เรียกว่า “ช่องโหว่ในการใช้ส่วนขยายซ้ำ” โดยอนุญาตให้ส่วนขยายที่เป็นอันตรายแอบใช้ฟังก์ชันการทำงานของส่วนขยายอื่นๆ ที่ติดตั้งไว้ เช่น ดาวน์โหลดไฟล์ เปิดเว็บไซต์ เข้าถึงไฟล์บนเครื่อง ฯลฯ ขึ้นอยู่กับข้อเท็จจริงที่ว่าส่วนขยายของ Firefox ไม่ได้แยกออกจากกันเพียงพอเมื่อติดตั้งในเบราว์เซอร์แล้ว สิ่งนี้อธิบายได้โดยเทคโนโลยีพื้นฐานซึ่งได้รับอนุญาตอย่างมาก (XPCOM, Cross Platform Component Object Model)
ข้อบกพร่องนี้เป็นอันตรายอย่างยิ่ง เนื่องจากทำให้ผู้โจมตีไม่สามารถส่งเสียงเตือนที่ Mozilla ซึ่งจะวิเคราะห์ส่วนขยายอย่างเป็นระบบก่อนที่จะเผยแพร่บน “ส่วนเสริม” ซึ่งเป็นตลาดสำหรับส่วนขยายของ Firefox แท้จริงแล้ว เพื่อดำเนินการโจมตี ส่วนขยายที่เป็นอันตรายไม่จำเป็นต้องรวมฟังก์ชันการทำงานที่ละเอียดอ่อนใดๆ เข้ากับโค้ดของมัน ดังนั้นมันจึงดูไม่เป็นอันตรายโดยสิ้นเชิง ในการสาธิตนักวิจัยได้เผยแพร่ส่วนขยายที่เรียกว่า "ValidateThisWebsite" บน Mozilla Add-Ons ซึ่งในลักษณะที่ปรากฏช่วยให้คุณสามารถตรวจสอบเว็บไซต์ได้ แต่ในพื้นหลังจะพยายามเชื่อมต่อกับ NoScript ตัวบล็อกสคริปต์ที่มีชื่อเสียงเพื่อเปิดหน้าเว็บ . ในท้ายที่สุด ส่วนขยายของพวกเขาก็ผ่านการตรวจสอบฉบับเต็มของ Mozilla อย่างไม่มีปัญหา
จากนั้นนักวิจัยต้องการทราบว่าส่วนขยายของ Firefox มีช่องโหว่จำนวนเท่าใด และเพื่อดำเนินการดังกล่าว จึงได้พัฒนาซอฟต์แวร์วิเคราะห์อัตโนมัติที่เรียกว่า CrossFire ผลลัพธ์: จากส่วนขยาย Firefox ที่ดาวน์โหลดมากที่สุด 10 อันดับ มีเพียงส่วนขยายเดียวเท่านั้นที่ไม่เสี่ยง นั่นคือ “AdBlock Plus” ระดับของช่องโหว่จะแตกต่างกันไป: บางตัวมีฟังก์ชั่นที่มีช่องโหว่เพียงไม่กี่อย่าง และบางตัวก็มีหลายสิบฟังก์ชั่น สำหรับ “Web of Trust” และ “VideoDownloadHelper” นักวิจัยค้นพบช่องโหว่ “Extension reuse” 33 และ 15 รายการตามลำดับ
แต่ไม่ใช่แค่ 10 อันดับแรกเท่านั้นที่ได้รับผลกระทบ ช่องโหว่นี้ดูเหมือนจะปรากฏในส่วนขยายจำนวนมาก จากการวิเคราะห์ส่วนขยายที่มีการดาวน์โหลดมากที่สุด 2,000 รายการ นักวิจัยสามารถนับช่องโหว่ได้มากกว่า 3,000 รายการ เราจะทำอย่างไรเพื่อป้องกันตัวเอง? ไม่มีแพทช์ให้ใช้ เนื่องจากนี่เป็นข้อบกพร่องเชิงโครงสร้าง Mozilla จะต้องเปลี่ยนวิธีการรวมส่วนขยายเข้ากับเบราว์เซอร์
นี่เป็นสิ่งที่ดี: เมื่อเดือนสิงหาคมที่ผ่านมา มูลนิธิได้ประกาศว่าจะทำเช่นนั้นใช้โมเดลส่วนขยายของ Chromeซึ่งปลอดภัยกว่าจากมุมมองนี้ ปัจจุบันโมเดลใหม่นี้เรียกว่า "WebExtensions" อยู่ในระหว่างดำเนินการเวอร์ชันอัลฟ่า- ในระหว่างนี้ ไม่แนะนำให้ดาวน์โหลดส่วนขยายใดๆ ที่ไม่รู้จักผู้เขียน
แหล่งที่มา :
การศึกษาของนักวิจัยด้านความปลอดภัย
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
