Milliókat tesznek ki veszélynek a Firefox kiegészítői

A Mozilla Firefoxba települő kiegészítők közül mintegy kétezer sebezhető annak köszönhetően, ahogyan a böngésző kezeli a bővítményeket. A problémára a Northeastern Egyetem kutatói hívták fel a figyelmet a Black Hat Asia kiberbiztonsági konferencián, akik azt vizsgálták tanulmányukban, hogyan működnek együtt a kiegészítők akkor, ha valamelyik látszólag ártalmatlan, ám valójában fertőző.

Komoly sebezhetőséget jelent ugyanis az, hogy a Firefox nem kezeli külön a bővítményeket. Egy bővítmény interakcióba léphet más bővítménnyel is, megoszthatnak egymással kódokat, funkciókat.

Így ha a felhasználó egy olyan beépülőt telepít, ami valójában álcázott malware,

Ki tudja használni azok képességeit, például a letöltőprogramok más vírusokat tölthetnek le, vírusos oldalakra vezethetik a felhasználót, vagy jelszavakat, böngészési információkat lophat el rajtuk keresztül. Az ilyen technikával működő kártékony kiegészítőket rendkívül nehéz felfedezni a jelenlegi módszerrel - árulták el a kutatók.

A Firefox tíz legnépszerűbb bővítményéből kilenc sebezhető ilyen módon, ezeket több millióan használják. Többek közt említették a Video DownloadHelper, Firebug, NoScript Security Suite, DownthemAll!, Greasemonkey, Web of Trust, Flash Video Downloader, FlashGot Mass Downloader és a Download Youtube Videos kiegészítőket. Az AdBlock Plus kivételt képez.

A Firefox elnöke, Nick Nguyen elismerte az Ars Technica-nak a sebezhetőséget, de a cég már dolgozik azon, hogy minél több fejlesztő térjen át a WebExtensions programozási interfész használatára, ami már elkülönítve kezeli a bővítményeket.