As extensões do Firefox podem realmente se tornar vetores de ataque maliciosos

Se você achava que essas incríveis extensões do Firefox tornam sua navegação online muito mais fácil, você não está errado, mas há um certo risco que vem com essas extensões. Falando na conferência de segurança Black Hat Asia 2016 em Cingapura, dois pesquisadores dos EUA explicaram como extensões bem conhecidas do Firefox podem ser usadas por outras extensões (maliciosas) para realizar ataques contra usuários do Firefox.

O Register relata que essas extensões estão abertas a ataques que podem comprometer silenciosamente máquinas e passar pelos testes de segurança automatizados e humanos da Mozilla.

O Ph.D. da Universidade de Boston, Ahmet Buyukkayhan, e o Professor da Universidade Northeastern, William Robertson, demonstraram como o ataque denominado Reutilização de Extensões pode ser aproveitado por hackers para instalar malware nos computadores dos usuários. Os dois pesquisadores disseram que pesquisaram a vulnerabilidade por dois anos, criando extensões maliciosas que usam um mecanismo chamado “reutilização de extensões” para fazer chamadas maliciosas a outras extensões, que então as repassam ao sistema subjacente.

Os pesquisadores explicam que, uma vez que todos os pedidos feitos por qualquer extensão no navegador Firefox são tratados com privilégios elevados, uma vez que os hackers tenham aproveitado a extensão, eles podem ter todo o navegador à sua disposição. Pior ainda, uma dessas extensões maliciosas pode facilmente passar pelo processo de revisão da Mozilla, que todas as extensões devem passar para serem adicionadas ao seu portal de complementos.

O sistema de segurança do Firefox não consegue identificar a extensão maliciosa porque ela não faz chamadas perigosas às partes internas mais sensíveis do Firefox, observaram os pesquisadores.

Através desse cenário de ataque, os pesquisadores conseguiram explorar complementos populares do Firefox para realizar ações maliciosas. Em seus testes, eles usaram complementos como o altamente popular GreaseMonkey (1,5 milhão de instalações ativas), Video DownloadHelper (6,5 milhões de instalações ativas) e NoScript (2,5 milhões de instalações ativas).

Os pesquisadores demonstraram seu exploit realizando um experimento ao vivo na conferência. O experimento foi feito usando uma extensão de teste, chamada ValidateThisWebsite, que continha apenas 50 linhas de código e foi deixada não ofuscada para fácil acesso ao seu código-fonte. Os revisores da Mozilla aprovaram a extensão sem nenhuma bandeira vermelha.

A Mozilla disse que as descobertas dos pesquisadores eram hipotéticas por natureza.

“A maneira como os complementos são implementados no Firefox hoje permite o cenário hipotetizado e apresentado no Black Hat Asia. O método descrito depende de um complemento popular que é vulnerável a ser instalado, e então para o complemento que aproveita essa vulnerabilidade também ser instalado”, diz Nick Nguyen, VP de Produto do Firefox.

“Porque riscos como este existem, estamos evoluindo tanto nosso produto principal quanto nossa plataforma de extensões para construir uma segurança maior. O novo conjunto de APIs de extensão de navegador que compõem as Web Extensions, que estão disponíveis no Firefox hoje, são inerentemente mais seguros do que os complementos tradicionais e não são vulneráveis ao ataque particular descrito na apresentação do Black Hat Asia. Como parte de nossa iniciativa de eletrólise – nosso projeto para introduzir uma arquitetura de múltiplos processos no Firefox ainda este ano – começaremos a isolar as extensões do Firefox para que elas não possam compartilhar código.