Le estensioni di Firefox possono effettivamente diventare vettori di attacco malevoli

Se pensavi che quelle fantastiche estensioni di Firefox rendessero la tua navigazione online molto più semplice, non hai torto, ma c’è un certo rischio che accompagna queste estensioni. Parlando alla conferenza sulla sicurezza Black Hat Asia 2016 a Singapore, due ricercatori statunitensi hanno spiegato come le estensioni di Firefox ben note possano essere utilizzate da altre estensioni (malevole) per portare a termine attacchi contro gli utenti di Firefox.

The Register riporta che queste estensioni sono aperte ad attacchi che possono compromettere silenziosamente le macchine e superare i test di sicurezza automatizzati e umani di Mozilla.

Il dottorando della Boston University Ahmet Buyukkayhan e il professor William Robertson della Northeastern University hanno dimostrato come l’attacco denominato Riutilizzo delle estensioni possa essere sfruttato dagli hacker per installare malware sui computer degli utenti. I due ricercatori hanno dichiarato di aver studiato la vulnerabilità per due anni creando estensioni malevole che utilizzano un meccanismo di “riutilizzo delle estensioni” per effettuare chiamate malevole ad altre estensioni, che poi le inoltrano al sistema sottostante.

I ricercatori spiegano che poiché tutte le richieste effettuate da qualsiasi estensione nel browser Firefox vengono gestite con privilegi elevati, una volta che gli hacker hanno sfruttato l’estensione, possono avere a disposizione l’intero browser. Ancora peggio, una di queste estensioni malevole può facilmente superare il processo di revisione di Mozilla, che tutte le estensioni devono affrontare per essere aggiunte al loro portale di componenti aggiuntivi.

Il sistema di sicurezza di Firefox non può individuare l’estensione malevola perché non effettua chiamate pericolose alle parti più sensibili di Firefox, hanno osservato i ricercatori.

Attraverso questo scenario di attacco, i ricercatori sono riusciti a sfruttare componenti aggiuntivi popolari di Firefox per portare a termine azioni malevole. Nei loro test, hanno utilizzato componenti aggiuntivi come il molto popolare componente aggiuntivo GreaseMonkey (1,5 milioni di installazioni attive), Video DownloadHelper (6,5 milioni di installazioni attive) e NoScript (2,5 milioni di installazioni attive).

I ricercatori hanno mostrato il loro exploit eseguendo un esperimento dal vivo durante la conferenza. L’esperimento è stato condotto utilizzando un’estensione di test, chiamata ValidateThisWebsite, che conteneva solo 50 righe di codice ed era lasciata non offuscata per un facile accesso al suo codice sorgente. I revisori di Mozilla hanno approvato l’estensione senza alcun segnale di allerta.

Mozilla ha dichiarato che le scoperte dei ricercatori erano di natura ipotetica.

“Il modo in cui gli add-on sono implementati in Firefox oggi consente lo scenario ipotizzato e presentato al Black Hat Asia. Il metodo descritto si basa su un componente aggiuntivo popolare che è vulnerabile all’installazione, e poi per il componente aggiuntivo che sfrutta quella vulnerabilità per essere installato”, afferma Nick Nguyen, VP del prodotto per Firefox.

“Poiché esistono rischi come questo, stiamo evolvendo sia il nostro prodotto principale che la nostra piattaforma di estensioni per costruire una maggiore sicurezza. Il nuovo insieme di API per estensioni del browser che compongono le Web Extensions, disponibili in Firefox oggi, sono intrinsecamente più sicure rispetto ai componenti aggiuntivi tradizionali e non sono vulnerabili all’attacco particolare delineato nella presentazione al Black Hat Asia. Come parte della nostra iniziativa di elettrolisi – il nostro progetto per introdurre un’architettura multi-processo in Firefox entro la fine di quest’anno – inizieremo a sandboxare le estensioni di Firefox in modo che non possano condividere codice.