|
Title: Вредоносные дополнения в каталоге FireFox Post by: Xal0lex on June 02, 2019, 08:01:14 PM В каталоге дополнений к Firefox (AMO (https://addons.mozilla.org/)) зафиксирована (https://www.ghacks.net/2019/05/29/another-malware-wave-hit-the-mozilla-firefox-extensions-store/) массовая публикация вредоносных дополнений, прикрывающихся известными проектами. Например, в каталоге размещены вредоносные дополнения "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player" и т.п.
По мере удаления подобных дополнений из каталога злоумышленники сразу создают новый аккаунт и повторно размещают свои дополнения. Например, несколько часов назад была создана учётная запись Firefox user 15018635, под которой размещены дополнения "Youtube Adblock", "Ublock plus", "Adblock Plus 2019". Судя по всему описание к дополнениям формируется для обеспечения их вывода в топе при поисковых запросах "Adobe Flash Player" и "Adobe Flash". https://www.ghacks.net/wp-content/uploads/2019/05/firefox-extensions-spam.png При установке дополнения запрашивают полномочия для доступа ко всем данным просматриваемых сайтов. В процессе работы запускается кейлоггер, который передаёт на хост theridgeatdanbury.com сведения о заполнении форм и устанавливаемых Cookie. Имена установочных файлов дополнений имеют вид "adpbe_flash_player-*.xpi" или "player_downloader-*.xpi". Код скриптов внутри дополнений незначительно отличается, но выполняемые ими вредоносные действия очевидны и не скрываются. https://www.opennet.ru/opennews/pics_base/0_1559199527.png Вероятно, отсутствие применения техник скрытия вредоносной активности и предельно простой код позволяют обойти автоматизированную систему предварительного рецензирования дополнений. При этом непонятно, как при автоматизированной проверке был игнорирован факт явной и нескрытой отправки данных из дополнения на внешний хост. https://www.opennet.ru/opennews/pics_base/0_1559197697.png Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений не согласны (https://www.opennet.ru/opennews/art.shtml?num=43398) с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных приёмов (https://github.com/dstillman/amo-validator-bypass) для обхода системы автоматизированной проверки дополнений, позволяющих незаметно вставить вредоносный код, например, через формирование операции на лету путём соединения нескольких строк с последующим выполнением результирующей строки вызовом eval. Позиция Mozilla сводится (http://danstillman.com/2015/11/23/firefox-extension-scanning-is-security-theater) к тому, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности. В октябре 2017 года в каталоге AMO был введён (https://www.opennet.ru/opennews/art.shtml?num=47328) новый процесс рецензирования дополнений. На смену ручной проверке пришёл автоматический процесс, который позволил избавиться от длительных ожиданий в очереди на прохождение проверки и увеличил оперативность доставки новых выпусков до пользователей. При этом ручная проверка полностью не упразднена, а выборочно проводится для уже размещённых дополнений. Дополнения для ручной проверки выбираются на основании вычисленных факторов риска. Opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=50775) ghacks.net (https://www.ghacks.net/2019/05/29/another-malware-wave-hit-the-mozilla-firefox-extensions-store/) Title: Re: Вредоносные дополнения в каталоге FireFox Post by: investgroup on June 03, 2019, 01:20:07 AM Ну наконец-то может быть эту фигню и дырку в безопасности ампутируют...
(хотя как на мой вкус - надо ампутировать подобные дырявые проекты целиком, а так-же все которые написаны на плохо читаемых говно-языках программирования...) Title: Re: Вредоносные дополнения в каталоге FireFox Post by: StartupAnalyst on June 16, 2019, 11:59:26 AM Ну наконец-то может быть эту фигню и дырку в безопасности ампутируют... Я полагаю что людям надо давать права выбора. Кому-то нравится этот проэкт с его дырами - ну и отлично, главное что человек знает о этих дырах. (хотя как на мой вкус - надо ампутировать подобные дырявые проекты целиком, а так-же все которые написаны на плохо читаемых говно-языках программирования...) Мне же например очень нравится браузер Brave. Он прям гениальное решение как для меня, еще и на крипте завязан. ::) Создал его к стати соучредитель корпорации Mozilla Project и создатель JavaScript Брендан Эйх с командой естественно. Оставлю ссылочку если кому интересно https://brave.com/sta268 Как многие из вас могли заметить я немного помешан на анонимности, конфиденциальности, да и вообще спокойной жизни поэтому мне очень импонирует то что Brave блокирует трекеры сайтов и сразу банит навязчивую рекламу можете скачать зайти на ютубчик и радоваться жизни, для этого не надо качать дополнения в браузер или еще чего, так же он повышает уровень приватности в интернете и урезает количество передаваемых данных которые рекламодатели так любят использовать. Это меня сильно тоже напрягало последнее время , и вот я от этого избавился. :D И особо крутой фишкой этого браузера я считаю кнопочку "открыть новое личное окно с Тор" тоисть вы не выходя из браузера, не качая отдельно ТОР просто берете и отрываете нужный вам сайт подключившись через сеть ТОР. P.S. Можете стереть приставку sta268 и ссылка перестанет быть реферальной ::) |
