该缺陷允许恶意扩展程序使用其他扩展程序的功能来劫持用户的计算机。在排名前 10 的 Firefox 扩展中,除了 AdBlock Plus 之外,所有扩展都容易受到攻击。
Firefox 扩展在互联网用户中非常受欢迎,它允许您向浏览器添加实用功能:下载视频、访问密码数据库、阻止广告等。但这些软件的添加也引入了两个安全研究人员刚刚在 BlackHat Asia 2016 会议上提出的漏洞。
称为“扩展重用漏洞”,它允许恶意扩展偷偷地使用其他已安装扩展的功能:下载文件、打开网站、访问计算机上的文件等。这是基于这样一个事实:Firefox 扩展一旦安装在浏览器中,彼此之间的隔离程度就不够。这是由非常宽松的底层技术(XPCOM,跨平台组件对象模型)解释的。
这个缺陷更加有害,因为它使攻击者无法向 Mozilla 发出警报,Mozilla 在将扩展发布到“Add-ons”(其 Firefox 扩展市场)之前会系统地对其进行分析。事实上,为了进行攻击,恶意扩展不需要将任何敏感功能集成到其代码中。因此它看起来完全无害。作为演示,研究人员在 Mozilla Add-Ons 上发布了一个名为“ValidateThisWebsite”的扩展,从外观上看,它允许您验证网站,但在后台,它会尝试连接到著名的脚本拦截器 NoScript 以打开网页。最终,他们的扩展毫无困难地通过了 Mozilla 的全面审查。
研究人员随后想知道有多少 Firefox 扩展容易受到攻击,为此,他们开发了名为 CrossFire 的自动分析软件。结果:在下载次数最多的 10 个 Firefox 扩展中,只有一个不易受攻击,即“AdBlock Plus”。漏洞的程度各不相同:有些只有几个易受攻击的功能,有些则有几十个。对于“Web of Trust”和“VideoDownloadHelper”,研究人员分别发现了 33 个和 15 个“扩展重用”漏洞。
但受影响的不仅仅是前十名。此漏洞似乎存在于大量扩展中。通过分析 2000 个下载最多的扩展程序,研究人员统计出 3000 多个漏洞。我们可以做什么来保护自己?没有可用的补丁。由于这是一个结构缺陷,Mozilla 需要改变扩展程序集成到浏览器中的方式。
这很好:去年八月,该基金会宣布将采用 Chrome 扩展模型,从这个角度来说更加安全。目前,这种名为“WebExtensions”的新模型正在进行中。阿尔法版本。同时,建议不要下载任何未知作者的扩展。
来源 :
