Les extensions populars de seguretat de Firefox estan obertes per reutilitzar els atacs

A la Conferència de Blackhat Asia a principis d’abril de 2016, investigadors de la Universitat del Nord-Est i la Universitat de Boston van revelar que nou de les deu principals extensions de Firefox són vulnerables als atacs de reutilització. Malauradament, inclou algunes de les extensions de seguretat més populars disponibles al catàleg de complements. En aquest article, tractem com podrien ocórrer aquests atacs, descrivim les extensions de seguretat compromeses i recomanem algunes mesures de precaució per disminuir el risc d’exposició..

Què és un atac de reutilització?

En aquest context, es produeix un atac de reutilització quan una extensió malintencionada explota les funcions d’una extensió legítima, però vulnerable, per realitzar un atac al navegador d’un usuari. El grup de recerca va desenvolupar un analitzador estàtic (anomenat CrossFire) per identificar les vulnerabilitats de reutilització en complements del Firefox tant per a les plataformes Windows com per a Mac, incloent:

  • Accés a la xarxa
  • Entrada / sortida del fitxer
  • Execució del codi
  • Accés al porta-retalls
  • Accés a la botiga de galetes
  • Accés a les adreces d’interès
  • Accés al magatzem de contrasenyes
  • Accés preferent
  • Registre d’oients d’esdeveniments

Mitjançant aquests defectes del complement, és possible que un atacant controli el vostre navegador i realitzi accions malicioses, com ara:

  • l’obertura i la visualització del contingut d’una URL en una pestanya nova del navegador.
  • l’enviament d’una sol·licitud HTTP a un URL especificat per un atacant.
  • baixant una llista de fitxers sense activar la sol·licitud de descàrrega del Firefox.
  • executar fitxers binaris per modificar el contingut del lloc web.

Com es produiria un atac de reutilització?

Perquè es produeixi un atac d’aquest tipus, l’usuari ha de descarregar l’extensió amb la vulnerabilitat de reutilització I una extensió malintencionada. Aleshores, el codi ocult al complement d’atac s’executaria sense el coneixement de l’usuari.

“Els atacants podrien escriure una extensió que resulti innocu per a qualsevol persona que revisi el connector”, va dir l’investigador William Robertson mentre va presentar a la conferència. “Però una vegada afegida al navegador Firefox, l’extensió de cara benigna podria explotar fàcilment una segona extensió Firefox per plantar programari maliciós a l’ordinador de l’usuari.”

Els atacs són possibles perquè els marcs de Firefox antics no aïllen les funcions de complement. Per tant, el codi addicional maliciós pot utilitzar les trucades de l’API de complements legítims per executar atacs mentre semblen inofensius. També poden recopilar dades confidencials contingudes en altres complements perquè els complements comparteixen el model d’objectes de comunicació multiplataforma (XPCOM) de Firefox.

Reutilitza les vulnerabilitats d’atac que es troben a Firefox Security Extensions

Crèdit: Buyukkayhan et al.

Els atacs de reutilització són habituals?

Els investigadors van dir a vpnMentor que molts altres punts de comunicació han evitat que el problema fos proporcional.

“La majoria dels articles en línia que vam llegir sobre CrossFire van disminuir el problema desproporcionat i van fer que semblés que totes les extensions de Firefox siguin malament i que s’haurien de treure immediatament de l’ordinador. Per descomptat, aquesta no seria una reacció sensata al problema que ens ocupa. “

Però, amb tantes de les extensions populars que presenten vulnerabilitats, obre les portes perquè es produeixin aquests atacs.

Reutilitza les vulnerabilitats d’atac que es troben a les extensions de seguretat de Firefox

Crèdit: Buyukkayhan et al.

De fet, un punt principal de la investigació era demostrar les insuficiències de les pràctiques actuals de revisió de complements. Per demostrar el punt, l’equip va penjar una extensió “maliciosa” i la va obtenir a través del màxim nivell de revisió del Firefox. Aquest complement, que van anomenar ValidateThisWebsite, va anunciar la capacitat d’analitzar els llocs web per determinar si complien els estàndards de codi actuals. Darrere de la façana, però, l’extensió realment es combina amb una extensió legítima per obrir un lloc web que escollís en una nova pestanya. Va ser inofensiu, però va mostrar com es va produir un atac.

Són susceptibles els complements de Jetpack?

Sí. Si bé el treball es va centrar principalment en les vulnerabilitats de les extensions de Firefox heretades per la seva popularitat i prevalença, l’equip va dir que les extensions construïdes a través de la plataforma Jetpack / Add-on SDK actual no són immunes a atacs de reutilització d’extensions..

Quines extensions de seguretat són vulnerables per reutilitzar els atacs?

Al document es mencionen dos complements destacats de seguretat:

  • NoScript:Reutilitza les vulnerabilitats d’atac que es troben a Firefox Security Extensions
    Aquesta extensió permet als usuaris triar els llocs que poden executar JavaScript, Java i altres complements. Actualment té més de 2 milions d’usuaris. Actualització: L’autor de NoScript ha respost recentment a l’article CrossFire anomenant-lo “recerca barata”.
  • Reutilitza les vulnerabilitats d’atac que es troben a les extensions de seguretat de FirefoxWeb de confiança:
    Un servei de qualificació i notificació de llocs web conegut a tot el món que ajuda els usuaris a prendre decisions informades sobre si confien en un lloc web o no quan busquen, compren o naveguen en línia. Té més de 900.000 usuaris.

A més d’aquestes dues extensions de seguretat, els investigadors van dir que KeeFox va mostrar Reutilitza les vulnerabilitats d’atac que es troben a les extensions de seguretat de Firefoxvulnerabilitats durant les proves. Aquesta extensió connecta Firefox a KeePass Password Safe, el gestor de contrasenyes de codi obert (i gratuït) més popular. Disponible només per a usuaris de PC, s’ha descarregat més de 59.000 vegades.

Nota: els investigadors van provar 323 extensions aleatòries juntament amb les de la llista del top-10. Aquest exemple aleatori pot incloure més extensions de seguretat que les que es mostren aquí.

Algunes extensions de seguretat han superat la prova de vulnerabilitat?

Sí. Adblock Plus es va produir sense vulnerabilitats de reutilització. Aquest és un desenvolupament positiu per als més de 20 milions d’usuaris que han descarregat aquesta extensió.

Quins són els millors mètodes per prevenir els atacs de reutilització?

Els investigadors van assenyalar que els atacs de reutilització no es poden produir si no es descarrega un paquet maliciós i es combina amb almenys un complement vulnerable. A més, són menys vulnerables les extensions amb una bona programació i actualitzacions recents. Per tant, vpnMentor recomana:

  • Ús d’extensions amb un registre d’actualització activa
  • Només baixant extensions de fonts conegudes
  • Mantenir el navegador actualitzat
  • Administrar la vostra biblioteca d’extensions i suprimir les que ja no utilitzeu

Segons els investigadors, la clau per a la protecció a curt termini és la vigilància. Informant els usuaris, desenvolupadors i veterinaris de Mozilla sobre aquest problema, tothom pot estar al punt de llistar les llista d’extensions malintencionades..

“Naturalment, no pretenem que el nostre treball sigui interpretat com un atac als esforços del quadre de vetters d’extensió de Firefox, que tenen un treball important i difícil …”, van escriure al document. “Tot i això, els nostres experiments demostren que les eines actuals [de revisió addicionals] són insuficients per controlar aquesta classe d’atacs, i les tècniques que proposem poden servir com a primer pas per reforçar el procés de verificació per detectar vulnerabilitats de reutilització d’extensions”.

L’equip també trasllada el projecte CrossFire a GitHub. Quan estigui disponible, qualsevol pot enviar una extensió com a entrada i veure les vulnerabilitats de reutilització del codi en el seu interior. Els desenvolupadors serien capaços d’emetre actualitzacions per solucionar les falles.

Es desenvolupa una correcció universal?

Sí. La investigació va provocar una ràpida resposta de Mozilla: “Perquè els riscosReutilitza les vulnerabilitats d’atac que es troben a les extensions de seguretat de Firefox Com que aquest existeix, estem evolucionant tant el nostre producte principal com la nostra plataforma d’extensions per aconseguir una major seguretat. “

La companyia destaca que els complements escrits a la nova plataforma WebExtensions (disponibles en versió beta amb Firefox 46) impedeixen el problema. A més, quan el Projecte d’electròlisi de Mozilla es llanci a finals d’aquest any, les extensions s’aïllaran mitjançant sandboxing. Aquest canvi evitarà que qualsevol extensió maliciosa es comuniqui amb un vulnerable.

Conclusió

Com que les vulnerabilitats s’estenen a gairebé tots els complements més populars, l’amenaça d’atacs de reutilització no es pot adoptar a la lleugera. És important subratllar, però, que una instal·lació complementària vigilant i un control més detallat per part de vetters i desenvolupadors han d’evitar que els complements maliciosos entrin a la biblioteca del Firefox. Per tant, assegureu-vos de descarregar les extensions de seguretat de confiança que es mantindran actualitzades a partir d’ara, o almenys fins que s’implementi el projecte d’electròlisi..

Proveïdor de rànquing La nostra puntuació Puntuació d’usuaris
Elecció de l'editor 5,0 / 5
Llegiu la crítica
Troba’n més Començar >> Visita el lloc
2 4,9 / 5
Llegiu la crítica
Troba’n més Començar >> Visita el lloc
3 4,8 / 5
Llegiu la crítica
Troba’n més Començar >> Visita el lloc
4 4,8 / 5
Llegiu la crítica
Troba’n més Començar >> Visita el lloc
5 4,7 / 5
Llegiu la crítica
Troba’n més Començar >> Visita el lloc
Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me