Расширения Firefox могут стать злонамеренными векторами атак

Если вы думали, что эти замечательные расширения Firefox делают ваше онлайн-серфинг намного проще, вы не ошибаетесь, но с этими расширениями существует определенный риск. Выступая на конференции по безопасности Black Hat Asia 2016 в Сингапуре, два американских исследователя объяснили, как известные расширения Firefox могут быть использованы другими (злонамеренными) расширениями для проведения атак на пользователей Firefox.

The Register сообщает, что эти расширения подвержены атакам, которые могут тихо скомпрометировать машины и пройти автоматические и человеческие тесты безопасности Mozilla.

Доктор философии Бостонского университета Ахмет Буюккайхан и профессор Северо-восточного университета Уильям Робертсон продемонстрировали, как атака, названная Повторное использование расширений, может быть использована хакерами для установки вредоносного ПО на компьютеры пользователей. Два исследователя заявили, что исследовали уязвимость в течение двух лет, создавая злонамеренные расширения, которые используют так называемый механизм “повторного использования расширений” для выполнения злонамеренных вызовов к другим расширениям, которые затем передают их в основную систему.

Исследователи объясняют, что поскольку все запросы, сделанные любым расширением в браузере Firefox, обрабатываются с повышенными привилегиями, как только хакеры воспользуются расширением, они могут получить полный контроль над браузером. Еще хуже, одно из этих злонамеренных расширений может легко пройти процесс проверки Mozilla, которому должны соответствовать все расширения, чтобы быть добавленными в их портал дополнений.

Система безопасности Firefox не может выявить злонамеренное расширение, потому что оно не делает никаких опасных вызовов к самым чувствительным внутренним частям Firefox, отметили исследователи.

В рамках этого сценария атаки исследователи смогли использовать популярные дополнения Firefox для выполнения злонамеренных действий. В своих тестах они использовали такие дополнения, как популярное дополнение GreaseMonkey (1,5 миллиона активных установок), Video DownloadHelper (6,5 миллиона активных установок) и NoScript (2,5 миллиона активных установок).

Исследователи продемонстрировали свою уязвимость, проведя живой эксперимент на конференции. Эксперимент был проведен с использованием тестового расширения, названного ValidateThisWebsite, которое содержало всего 50 строк кода и было оставлено незащищенным для легкого доступа к его исходному коду. Рецензенты Mozilla одобрили расширение без каких-либо предупреждений.

Mozilla заявила, что выводы исследователей носят гипотетический характер.

“Способ, которым дополнения реализованы в Firefox сегодня, позволяет сценарий, гипотетически представленный на Black Hat Asia. Описанный метод зависит от популярного дополнения, которое уязвимо для установки, а затем от дополнения, которое использует эту уязвимость, чтобы также быть установленным,” говорит Ник Нгуен, вице-президент по продуктам Firefox.

“Поскольку существуют такие риски, мы развиваем как наш основной продукт, так и нашу платформу расширений, чтобы обеспечить большую безопасность. Новый набор API для расширений браузера, который составляет Web Extensions и доступен в Firefox сегодня, по своей сути более безопасен, чем традиционные дополнения и не подвержен конкретной атаке, описанной в презентации на Black Hat Asia. В рамках нашей инициативы по электролизу – нашего проекта по внедрению многопроцессной архитектуры в Firefox позже в этом году – мы начнем изолировать расширения Firefox, чтобы они не могли делиться кодом.