Las extensiones de Firefox pueden convertirse en vectores de ataque maliciosos

Si pensabas que esas increíbles extensiones de Firefox hacen que tu navegación en línea sea mucho más fácil, no estás equivocado, pero hay un cierto riesgo que viene con estas extensiones. Hablando en la conferencia de seguridad Black Hat Asia 2016 en Singapur, dos investigadores estadounidenses explicaron cómo extensiones de Firefox bien conocidas pueden ser utilizadas por otras extensiones (maliciosas) para llevar a cabo ataques contra los usuarios de Firefox.

The Register informa que estas extensiones son vulnerables a ataques que pueden comprometer silenciosamente las máquinas y pasar las pruebas de seguridad automatizadas y humanas de Mozilla.

El Ph.D. de la Universidad de Boston, Ahmet Buyukkayhan, y el profesor de la Universidad del Noreste, William Robertson, demostraron cómo el ataque denominado Reutilización de Extensiones puede ser aprovechado por hackers para instalar malware en las computadoras de los usuarios. Los dos investigadores dijeron que habían investigado la vulnerabilidad durante dos años creando extensiones maliciosas que utilizan un mecanismo de “reutilización de extensiones” para hacer llamadas maliciosas a otras extensiones, que luego las pasan al sistema subyacente.

Los investigadores explican que dado que todas las solicitudes realizadas por cualquier extensión en el navegador Firefox se manejan con privilegios elevados, una vez que los hackers han aprovechado la extensión, pueden tener todo el navegador a su disposición. Aún peor, una de estas extensiones maliciosas puede pasar fácilmente por el proceso de revisión de Mozilla, que todas las extensiones deben atravesar para ser añadidas a su portal de complementos.

El sistema de seguridad de Firefox no puede identificar la extensión maliciosa porque no realiza llamadas peligrosas a las partes más sensibles del interior de Firefox, señalaron los investigadores.

A través de este escenario de ataque, los investigadores lograron explotar complementos populares de Firefox para llevar a cabo acciones maliciosas. En sus pruebas, utilizaron complementos como el muy popular complemento GreaseMonkey (1.5 millones de instalaciones activas), Video DownloadHelper (6.5 millones de instalaciones activas) y NoScript (2.5 millones de instalaciones activas).

Los investigadores mostraron su exploit llevando a cabo un experimento en vivo en la conferencia. El experimento se realizó utilizando una extensión de prueba, llamada ValidateThisWebsite, que contenía solo 50 líneas de código y se dejó sin ofuscar para facilitar el acceso a su código fuente. Los revisores de Mozilla aprobaron la extensión sin ninguna bandera roja.

Mozilla dijo que los hallazgos de los investigadores eran hipotéticos por naturaleza.

“La forma en que se implementan los complementos en Firefox hoy permite el escenario hipotetizado y presentado en Black Hat Asia. El método descrito depende de un complemento popular que es vulnerable a ser instalado, y luego para que el complemento que aprovecha esa vulnerabilidad también sea instalado”, dice Nick Nguyen, VP de Producto para Firefox.

“Debido a que existen riesgos como este, estamos evolucionando tanto nuestro producto principal como nuestra plataforma de extensiones para incorporar una mayor seguridad. El nuevo conjunto de APIs de extensiones de navegador que componen las Web Extensions, que están disponibles en Firefox hoy, son inherentemente más seguros que los complementos tradicionales, y no son vulnerables al ataque particular descrito en la presentación en Black Hat Asia. Como parte de nuestra iniciativa de electrólisis – nuestro proyecto para introducir una arquitectura multiproceso en Firefox más adelante este año – comenzaremos a poner en sandbox las extensiones de Firefox para que no puedan compartir código.