Firefox-Erweiterungen können tatsächlich bösartige Angriffsvektoren werden

Wenn Sie dachten, dass diese großartigen Firefox-Erweiterungen Ihr Online-Surfen erheblich erleichtern, liegen Sie nicht falsch, aber es gibt ein gewisses Risiko, das mit diesen Erweiterungen verbunden ist. Auf der Black Hat Asia 2016 Sicherheitskonferenz in Singapur erklärten zwei US-Forscher, wie bekannte Firefox-Erweiterungen von anderen (bösartigen) Erweiterungen genutzt werden können, um Angriffe gegen Firefox-Nutzer durchzuführen.

The Register berichtet, dass diese Erweiterungen anfällig für Angriffe sind, die Maschinen heimlich kompromittieren und die automatisierten und menschlichen Sicherheitstests von Mozilla bestehen können.

Der Ph.D. der Boston University, Ahmet Buyukkayhan, und der Professor der Northeastern University, William Robertson, demonstrierten, wie der Angriff mit dem Namen Extension Reuse von Hackern genutzt werden kann, um Malware auf den Computern der Nutzer zu installieren. Die beiden Forscher gaben an, dass sie die Schwachstelle zwei Jahre lang untersucht hatten, indem sie bösartige Erweiterungen erstellt hatten, die einen sogenannten „Extension Reuse“-Mechanismus verwenden, um bösartige Aufrufe an andere Erweiterungen zu tätigen, die diese dann an das zugrunde liegende System weiterleiten.

Die Forscher erklären, dass alle Anfragen, die von einer Erweiterung im Firefox-Browser gestellt werden, mit erhöhten Rechten behandelt werden. Sobald die Hacker die Erweiterung ausgenutzt haben, können sie den gesamten Browser nach Belieben steuern. Noch schlimmer ist, dass eine dieser bösartigen Erweiterungen leicht den Überprüfungsprozess von Mozilla durchlaufen kann, den alle Erweiterungen durchlaufen müssen, um in ihr Add-On-Portal aufgenommen zu werden.

Das Sicherheitssystem von Firefox kann die bösartige Erweiterung nicht identifizieren, da sie keine gefährlichen Aufrufe an die sensibelsten inneren Teile von Firefox tätigt, bemerkten die Forscher.

Durch dieses Angriffsszenario gelang es den Forschern, beliebte Firefox-Add-Ons auszunutzen, um bösartige Aktionen durchzuführen. In ihren Tests verwendeten sie Add-Ons wie das sehr beliebte GreaseMonkey-Add-On (1,5 Millionen aktive Installationen), Video DownloadHelper (6,5 Millionen aktive Installationen) und NoScript (2,5 Millionen aktive Installationen).

Die Forscher demonstrierten ihren Exploit, indem sie ein Live-Experiment auf der Konferenz durchführten. Das Experiment wurde mit einer Test-Erweiterung namens ValidateThisWebsite durchgeführt, die nur 50 Zeilen Code enthielt und zur einfachen Zugänglichkeit ihres Quellcodes nicht obfuskiert war. Die Mozilla-Reviewer genehmigten die Erweiterung ohne jegliche Warnsignale.

Mozilla erklärte, dass die Erkenntnisse der Forscher hypothetischer Natur seien.

„Die Art und Weise, wie Add-Ons heute in Firefox implementiert sind, ermöglicht das hypothetisierte Szenario, das auf der Black Hat Asia präsentiert wurde. Die beschriebene Methode beruht auf einem beliebten Add-On, das anfällig für die Installation ist, und dann darauf, dass das Add-On, das diese Schwachstelle ausnutzt, ebenfalls installiert wird“, sagt Nick Nguyen, VP of Product für Firefox.

„Da Risiken wie dieses existieren, entwickeln wir sowohl unser Kernprodukt als auch unsere Erweiterungsplattform weiter, um eine größere Sicherheit zu gewährleisten. Die neue Reihe von Browsererweiterungs-APIs, die Web Extensions bilden und heute in Firefox verfügbar sind, sind von Natur aus sicherer als traditionelle Add-Ons und sind nicht anfällig für den speziellen Angriff, der in der Präsentation auf der Black Hat Asia skizziert wurde. Im Rahmen unserer Elektrolyse-Initiative – unserem Projekt zur Einführung einer Multi-Prozess-Architektur in Firefox später in diesem Jahr – werden wir beginnen, Firefox-Erweiterungen zu sandboxen, sodass sie keinen Code teilen können.