Firefox拡張機能は実際に悪意のある攻撃ベクターになる可能性がある

もし、素晴らしいFirefox拡張機能がオンラインサーフィンをより簡単にしてくれると思っていたなら、あなたは間違っていませんが、これらの拡張機能には特定のリスクが伴います。シンガポールで開催されたBlack Hat Asia 2016セキュリティカンファレンスで、2人の米国の研究者が、よく知られたFirefox拡張機能が他の（悪意のある）拡張機能によってどのように利用され、Firefoxユーザーに対して攻撃を実行できるかを説明しました。

The Registerは、これらの拡張機能が、静かにマシンを侵害し、Mozillaの自動および人間のセキュリティテストを通過する攻撃に対して開かれていると報告しています。

ボストン大学の博士Ahmet Buyukkayhanとノースイースタン大学の教授William Robertsonは、Extension Reuseと呼ばれる攻撃が、ハッカーによってユーザーのコンピュータにマルウェアをインストールするためにどのように利用されるかを示しました。2人の研究者は、悪意のある拡張機能を作成することでこの脆弱性を2年間研究してきたと述べており、いわゆる「extension reuse」メカニズムを使用して他の拡張機能に悪意のある呼び出しを行い、それを基盤となるシステムに渡すことができるとしています。

研究者たちは、Firefoxブラウザ内の任意の拡張機能によって行われるすべてのリクエストが昇格された権限で処理されるため、ハッカーが拡張機能を利用すると、ブラウザ全体を自由に操作できると説明しています。さらに悪いことに、これらの悪意のある拡張機能の1つは、すべての拡張機能が追加されるために通過しなければならないMozillaのレビュー過程を簡単に通過することができます。

研究者たちは、悪意のある拡張機能がFirefoxの最も敏感な内部部分に対して危険な呼び出しを行わないため、Firefoxのセキュリティシステムは悪意のある拡張機能を特定できないと指摘しました。

この攻撃シナリオを通じて、研究者たちは人気のあるFirefoxアドオンを利用して悪意のある行動を実行することに成功しました。彼らのテストでは、非常に人気のあるGreaseMonkeyアドオン（150万のアクティブインストール）、Video DownloadHelper（650万のアクティブインストール）、およびNoScript（250万のアクティブインストール）などのアドオンを使用しました。

研究者たちは、カンファレンスでライブ実験を行うことで彼らのエクスプロイトを示しました。この実験は、ValidateThisWebsiteというテスト拡張機能を使用して行われ、50行のコードのみを含み、そのソースコードへのアクセスを容易にするために難読化されていませんでした。Mozillaのレビュアーは、何の警告もなくその拡張機能を承認しました。

Mozillaは、研究者の発見が仮説的な性質であると述べました。

「今日のFirefoxにおけるアドオンの実装方法は、Black Hat Asiaで仮定され提示されたシナリオを可能にします。説明された方法は、インストールされる脆弱性のある人気のアドオンに依存し、その脆弱性を利用するアドオンもインストールされることに依存しています」と、Firefoxの製品VPであるNick Nguyenは述べています。

「このようなリスクが存在するため、私たちはコア製品と拡張機能プラットフォームの両方を進化させて、より大きなセキュリティを構築しています。今日のFirefoxで利用可能なWeb Extensionsを構成する新しいブラウザ拡張APIは、従来のアドオンよりも本質的に安全であり、Black Hat Asiaでのプレゼンテーションで概説された特定の攻撃に対して脆弱ではありません。私たちのエレクトロリシスイニシアチブの一環として、今年後半にFirefoxにマルチプロセスアーキテクチャを導入するプロジェクトで、Firefox拡張機能をサンドボックス化し、コードを共有できないようにします。