Les extensions Firefox peuvent en fait devenir des vecteurs d'attaque malveillants

Si vous pensiez que ces superbes extensions Firefox rendent votre navigation en ligne beaucoup plus facile, vous n’avez pas tort, mais il y a un certain risque qui accompagne ces extensions. Lors de la conférence de sécurité Black Hat Asia 2016 à Singapour, deux chercheurs américains ont expliqué comment des extensions Firefox bien connues peuvent être utilisées par d’autres extensions (malveillantes) pour mener des attaques contre les utilisateurs de Firefox.

The Register rapporte que ces extensions sont ouvertes à des attaques qui peuvent silencieusement compromettre des machines et passer les tests de sécurité automatisés et humains de Mozilla.

Le doctorant de l’Université de Boston, Ahmet Buyukkayhan, et le professeur de l’Université Northeastern, William Robertson, ont démontré comment l’attaque appelée Reuse d’extension peut être exploitée par des hackers pour installer des logiciels malveillants sur les ordinateurs des utilisateurs. Les deux chercheurs ont déclaré avoir étudié la vulnérabilité pendant deux ans en créant des extensions malveillantes qui utilisent un mécanisme dit de “reuse d’extension” pour effectuer des appels malveillants à d’autres extensions, qui les transmettent ensuite au système sous-jacent.

Les chercheurs expliquent que puisque toutes les requêtes faites par n’importe quelle extension dans le navigateur Firefox sont traitées avec des privilèges élevés, une fois que les hackers ont exploité l’extension, ils peuvent avoir l’ensemble du navigateur à leur disposition. Pire encore, l’une de ces extensions malveillantes peut facilement passer par le processus de révision de Mozilla, que toutes les extensions doivent suivre pour être ajoutées à leur portail d’extensions.

Le système de sécurité de Firefox ne peut pas cibler l’extension malveillante car elle ne fait aucun appel dangereux aux parties les plus sensibles de Firefox, ont noté les chercheurs.

À travers ce scénario d’attaque, les chercheurs ont réussi à exploiter des modules complémentaires populaires de Firefox pour effectuer des actions malveillantes. Dans leurs tests, ils ont utilisé des modules complémentaires tels que le très populaire module GreaseMonkey (1,5 million d’installations actives), Video DownloadHelper (6,5 millions d’installations actives) et NoScript (2,5 millions d’installations actives).

Les chercheurs ont présenté leur exploitation en réalisant une expérience en direct lors de la conférence. L’expérience a été réalisée à l’aide d’une extension de test, appelée ValidateThisWebsite, qui contenait seulement 50 lignes de code et a été laissée non obfusquée pour un accès facile à son code source. Les examinateurs de Mozilla ont approuvé l’extension sans aucun drapeau rouge.

Mozilla a déclaré que les résultats des chercheurs étaient de nature hypothétique.

« La façon dont les modules complémentaires sont implémentés dans Firefox aujourd’hui permet le scénario hypothétisé et présenté à Black Hat Asia. La méthode décrite repose sur un module complémentaire populaire qui est vulnérable à être installé, puis sur le module complémentaire qui tire parti de cette vulnérabilité pour être également installé », déclare Nick Nguyen, VP Produit pour Firefox.

« Parce que des risques comme celui-ci existent, nous faisons évoluer à la fois notre produit principal et notre plateforme d’extensions pour intégrer une plus grande sécurité. Le nouvel ensemble d’API d’extensions de navigateur qui compose les Web Extensions, qui sont disponibles dans Firefox aujourd’hui, est intrinsèquement plus sécurisé que les modules complémentaires traditionnels et n’est pas vulnérable à l’attaque particulière décrite dans la présentation à Black Hat Asia. Dans le cadre de notre initiative d’électrolyse – notre projet d’introduire une architecture multi-processus dans Firefox plus tard cette année – nous commencerons à isoler les extensions Firefox afin qu’elles ne puissent pas partager de code.