파이어폭스 확장 프로그램이 실제로 악성 공격 벡터가 될 수 있습니다

온라인 서핑을 훨씬 더 쉽게 만들어주는 멋진 파이어폭스 확장 프로그램들이 있다고 생각했다면, 당신은 틀리지 않았지만 이러한 확장 프로그램에는 특정 위험이 따릅니다. 싱가포르에서 열린 블랙햇 아시아 2016 보안 컨퍼런스에서 두 명의 미국 연구자들은 잘 알려진 파이어폭스 확장 프로그램이 다른 (악성) 확장 프로그램에 의해 어떻게 사용될 수 있는지를 설명했습니다.

레지스터에 따르면 이러한 확장 프로그램은 조용히 기계를 손상시키고 모질라의 자동 및 인간 보안 테스트를 통과할 수 있는 공격에 노출되어 있습니다.

보스턴 대학교 박사 Ahmet Buyukkayhan과 노스이스턴 대학교 교수 William Robertson은 해커들이 사용자의 컴퓨터에 악성 소프트웨어를 설치하기 위해 확장 프로그램 재사용이라는 공격을 어떻게 활용할 수 있는지를 시연했습니다. 두 연구자는 악성 확장 프로그램을 만들어 이른바 “ 확장 프로그램 재사용 ” 메커니즘을 사용하여 다른 확장 프로그램에 악성 호출을 하도록 하는 취약점을 연구해 왔다고 말했습니다.

연구자들은 파이어폭스 브라우저에서 모든 확장 프로그램이 하는 요청은 상승된 권한으로 처리되기 때문에 해커가 확장을 활용하면 전체 브라우저를 마음대로 사용할 수 있다고 설명했습니다. 더 나쁜 것은 이러한 악성 확장 프로그램 중 하나가 모질라의 검토 프로세스를 쉽게 통과할 수 있다는 점입니다. 모든 확장 프로그램이 추가되기 위해 거쳐야 하는 과정입니다.

연구자들은 악성 확장 프로그램이 파이어폭스의 가장 민감한 내부 부분에 위험한 호출을 하지 않기 때문에 파이어폭스 보안 시스템이 악성 확장 프로그램을 정확히 찾아내지 못한다고 언급했습니다.

이 공격 시나리오를 통해 연구자들은 인기 있는 파이어폭스 애드온을 악용하여 악성 행동을 수행할 수 있었습니다. 그들의 테스트에서는 매우 인기 있는 GreaseMonkey 애드온(150만 개의 활성 설치), Video DownloadHelper(650만 개의 활성 설치), NoScript(250만 개의 활성 설치)와 같은 애드온을 사용했습니다.

연구자들은 컨퍼런스에서 라이브 실험을 수행하여 그들의 악용을 시연했습니다. 이 실험은 ValidateThisWebsite라는 테스트 확장을 사용하여 수행되었으며, 이 확장은 50줄의 코드만 포함되어 있고 소스 코드에 쉽게 접근할 수 있도록 난독화되지 않았습니다. 모질라 검토자들은 이 확장을 아무런 문제 없이 승인했습니다.

모질라는 연구자들의 발견이 가설적 성격을 띤다고 말했습니다.

“현재 파이어폭스에서 애드온이 구현되는 방식은 블랙햇 아시아에서 가설화되고 제시된 시나리오를 허용합니다. 설명된 방법은 설치될 수 있는 취약한 인기 애드온에 의존하며, 그 취약점을 이용하는 애드온이 또한 설치되는 방식입니다.”라고 파이어폭스 제품 부사장 Nick Nguyen이 말했습니다.

“이와 같은 위험이 존재하기 때문에 우리는 핵심 제품과 확장 플랫폼을 발전시켜 더 큰 보안을 구축하고 있습니다. 오늘날 파이어폭스에서 사용할 수 있는 웹 확장을 구성하는 새로운 브라우저 확장 API 세트는 전통적인 애드온보다 본질적으로 더 안전하며, 블랙햇 아시아 발표에서 설명된 특정 공격에 취약하지 않습니다. 올해 말 파이어폭스에 다중 프로세스 아키텍처를 도입하기 위한 우리의 전기분해 이니셔티브의 일환으로, 우리는 파이어폭스 확장 프로그램을 샌드박스화하여 코드 공유를 할 수 없도록 할 것입니다.