Зафіксовано масову публікацію шкідливих доповнень Firefox, що прикриваються Adobe Flash
Зафіксовано масову публікацію шкідливих доповнень Firefox, що прикриваються Adobe Flash
У каталозі доповнень до Firefox (AMO) зафіксована масова публікація шкідливих доповнень, що прикриваються відомими проектами. Наприклад, у каталозі розміщені шкідливі доповнення "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player" тощо.
У міру видалення подібних доповнень з каталогу зловмисники одразу створюють новий обліковий запис і повторно розміщують свої доповнення. Наприклад, кілька годин тому було створено обліковий запис Firefox user 15018635, під яким розміщені доповнення "Youtube Adblock", "Ublock plus", "Adblock Plus 2019". Судячи з усього, опис додатків формується для забезпечення їх виведення в топі при пошукових запитах "Adobe Flash Player" та "Adobe Flash".
Під час встановлення доповнення запитують повноваження для доступу до всіх даних сайтів, що переглядаються. У процесі роботи запускається кейлоггер, який передає на хост theridgeatdanbury.com відомості про заповнення форм і Cookie, що встановлюються. Імена інсталяційних файлів доповнень мають вигляд "adpbe_flash_player-*.xpi" або "player_downloader-*.xpi". Код скриптів усередині доповнень незначно відрізняється, але шкідливі дії, що виконуються ними, очевидні і не приховуються.
Ймовірно, відсутність застосування технік приховування шкідливої активності та гранично простий код дозволяють обійти автоматизовану систему попереднього рецензування доповнень. При цьому незрозуміло, як під час автоматизованої перевірки було ігноровано факт явного та неприхованого відправлення даних із доповнення на зовнішній хост.
На думку Mozilla введення перевірки за цифровим підписом дозволить блокувати поширення шкідливих та шпигунних за користувачами доповнень. Деякі розробники доповнень не згодні з такою позицією і вважають, що механізм обов'язкової перевірки цифрового підпису лише створює складності для розробників і призводить до збільшення часу доведення до користувачів коригувальних випусків, ніяк не впливаючи на безпеку. Існує безліч тривіальних і очевидних прийомів для обходу системи автоматизованої перевірки доповнень, що дозволяють непомітно вставити шкідливий код, наприклад, через формування операції на льоту шляхом з'єднання декількох рядків з подальшим виконанням результуючого рядка викликом eval. Позиція Mozilla зводиться до того, що більшість авторів шкідливих доповнень ліниві і не вдаватимуться до подібних технік приховування шкідливої активності.