Zgjatjet popullore të sigurisë Firefox janë të hapura për të ripërdorur sulmet


Në Konferencën e Azisë Blackhat në fillim të Prillit 2016, studiuesit nga Universiteti Verilindor dhe Universiteti Boston zbuluan nëntë nga dhjetë shtesat më të larta të Firefox-it janë të ndjeshme për të ripërdorur sulme. Fatkeqësisht, kjo përfshin disa nga shtesat më të njohura të sigurisë në dispozicion në katalogun e Shtesave. Në këtë artikull, ne diskutojmë se si mund të ndodhin këto sulme, përshkruajnë shtrirjet e kompromentuara të sigurisë dhe rekomandojmë disa masa paraprake për të zvogëluar rrezikun tuaj të ekspozimit.

Farë është një sulm ripërdorimi?

Në këtë kontekst, një sulm ripërdorimi ndodh kur një zgjatje me qëllim të keq shfrytëzon funksionet e një zgjatjeje të ligjshme – por të prekshme – për të kryer një sulm në shfletuesin e një përdoruesi. Grupi hulumtues zhvilloi një analizues statik – të quajtur CrossFire – për të identifikuar dobësitë e ripërdorimit në shtesat Firefox si për Windows ashtu edhe për platformat Mac, duke përfshirë:

  • Qasje në rrjet
  • Hyrja / dalja e skedarit
  • Ekzekutimi i kodit
  • Qasja në klipboard
  • Qasje në dyqan cookie
  • Qasja e faqerojtësve
  • Qasje në dyqan fjalëkalimi
  • Qasja me përparësi
  • Regjistrimi i dëgjuesit të ngjarjeve

Përmes këtyre gabimeve shtesë, është e mundur që një sulmues të kontrollojë shfletuesin tuaj dhe të kryejë veprime me qëllim të keq, siç janë:

  • hapja dhe shfaqja e përmbajtjes së një URL në një skedar të ri shfletuesi.
  • dërgimi i një kërkese HTTP në një URL të specifikuar për sulmuesin.
  • shkarkimi i një liste të skedarëve pa aktivizuar menjëherë promovimin e shkarkimit të Firefox-it.
  • ekzekutimi i skedarëve binar për të modifikuar përmbajtjen e faqes në internet.

Si do të ndodhë një sulm ripërdorimi?

Në mënyrë që të ndodhë një sulm i tillë, një përdorues duhet të shkarkojë shtesën me ndjeshmërinë e ripërdorimit dhe një shtrirje me qëllim të keq. Kodi i fshehur brenda shtesës sulmuese më pas do të ekzekutohej pa dijeninë e përdoruesit.

“Sulmuesit mund të shkruajnë një zgjatje që duket e pafajshme për këdo që shqyrton shtesën,” tha studiuesi William Robertson ndërsa prezantoi në konferencë. “Por, një herë i shtuar në shfletuesin Firefox, shtesa beninje në kërkim mund të shfrytëzonte me lehtësi një shtrirje të dytë Firefox për të mbjellë malware në kompjuterin e përdoruesit.”

Sulmet bëhen të mundshme sepse kornizat e trashëgimisë Firefox nuk izolojnë funksionet e shtesave. Prandaj, kodi i shtesave me qëllim të keq mund të përdorë thirrje API nga shtesa të ligjshme për të ekzekutuar sulme ndërsa duket se janë të padëmshme. Ata gjithashtu mund të mbledhin të dhëna të ndjeshme të përfshira në shtesa të tjera sepse shtesat ndajnë Modelin e Objektit të Komunikimit Ndër-Platformë të Firefox-it (XPCOM).

Ripërdorimi i dobësive të sulmit që gjenden në Firefox Security Extensions

Kredia: Buyukkayhan et al.

Janë të zakonshme sulmet e ripërdorimit?

Jo. Studiuesit i thanë vpnMentor që shumë media të tjera kanë hedhur në erë çështjen pa proporcion.

“Shumica e artikujve në internet që kemi lexuar në lidhje me CrossFire shpërthejnë problemin pa proporcion, dhe e bënë atë të duket se të gjitha shtesat e Firefox-it janë të këqija dhe duhet menjëherë të hiqen nga kompjuteri. Sigurisht, kjo nuk do të ishte një reagim i arsyeshëm për çështjen në fjalë. ”

Por me kaq shumë prej shtesave popullore që kanë cenueshmëri, ajo hap derën për sulme të tilla të ndodhin.

Riparimet e ripërdorimit të sulmit të gjetura në shtesat e sigurisë së Firefox-it

Kredia: Buyukkayhan et al.

Në fakt, një pikë kryesore e hulumtimit ishte të vërtetojë papërshtatshmërinë e praktikave aktuale të verifikimit të shtesave. Për të vërtetuar pikën, ekipi ngarkoi një shtesë “keqdashëse” dhe e mori atë përmes vlerësimit më të lartë të Firefox-it. Kjo shtesë, të cilën ata e quajtën ValidateThisWebsite, reklamoi një aftësi për të analizuar faqet e internetit për të përcaktuar nëse ata i përmbushnin standardet aktuale të kodit. Sidoqoftë, prapa fasadës, shtrirja në të vërtetë çiftëzohet me një zgjatje të ligjshme për të hapur një faqe në internet të zgjedhjes së tyre në një skedë të re. Ishte e padëmshme, por tregoi sesi mund të ndodhte një sulm.

Janë shtesa Jetpack të ndjeshme?

Po. Ndërsa puna u përqëndrua kryesisht në cenueshmërinë e trashëgimisë zgjerimet e Firefox-it për shkak të popullaritetit dhe përhapjes së tyre, ekipi tha që zgjerimet e ndërtuara përmes platformës aktuale Jetpack / Add-on SDK nuk janë imun ndaj sulmeve të ripërdorimit të zgjatjes.

Cilat shtesë të sigurisë janë të rrezikueshme për të ripërdorur sulmet?

Gazeta përmend dy shtesa të spikatura të sigurisë:

  • NoScript:Ripërdorimi i dobësive të sulmit që gjenden në Firefox Security Extensions
    Kjo shtesë mundëson që përdoruesit të zgjedhin faqet që mund të ekzekutojnë JavaScript, Java dhe shtojcat e tjera. Aktualisht ka më shumë se 2 milion përdorues. Përditësimi: Autori i NoScript është përgjigjur kohët e fundit tek artikulli CrossFire, duke e cilësuar atë “hulumtim të lirë”.
  • Riparimet e ripërdorimit të sulmit të gjetura në shtesat e sigurisë së Firefox-itUeb i Mirëbesimit:
    Një shërbim i njohur për reputacionin dhe vlerësimin e faqes në të gjithë botën që ndihmon përdoruesit të marrin vendime të informuara nëse duhet t’i besojnë një uebsajti apo jo kur kërkoni, bëni blerje ose surfoni në internet. Ka më shumë se 900,000 përdorues.

Përveç këtyre dy shtesave të sigurisë, studiuesit thanë se KeeFox tregoi Riparimet e ripërdorimit të sulmit të gjetura në shtesat e sigurisë së Firefox-itdobësitë gjatë provave. Kjo zgjatje lidh Firefox me KeePass Password Safe, menaxherin më të popullarizuar të burimit të hapur (dhe falas) të fjalëkalimit. Në dispozicion vetëm për përdoruesit e PC, është shkarkuar më shumë se 59,000 herë.

Shënim: studiuesit testuan 323 zgjatje të rastit së bashku me ato në listën e top-10. Ky kampion i rastësishëm mund të përfshijë më shumë shtesa sigurie sesa ato të listuara këtu.

A ka kaluar ndonjë zgjatje sigurie Testin e Vulnerability?

Po. Adblock Plus erdhi pa ndonjë dobësi të ripërdorimit. Ky është një zhvillim pozitiv për 20+ milion përdoruesit që kanë shkarkuar këtë shtesë.

Cilat janë mënyrat më të mira për të parandaluar sulmet e ripërdorimit?

Studiuesit vunë në dukje se sulmet e ripërdorimit nuk mund të ndodhin nëse një shtesë me qëllim të keq shkarkohet dhe çiftohet me të paktën një shtesë të ndjeshme. Gjithashtu, shtrirjet me programim të mirë dhe azhurnimet e fundit kanë më pak të ngjarë të jenë të prekshme. Prandaj, vpnMentor rekomandon:

  • Përdorimi i shtesave me një rekord të azhurnimit aktiv
  • Shkarkoni vetëm shtesa nga burime të njohura
  • Mbajtja e azhurnuar e shfletuesit tuaj
  • Menaxhimi i bibliotekës suaj shtesë dhe heqja e atyre që nuk i përdorni më

Sipas studiuesve, çelësi për mbrojtjen afatshkurtër është vigjilenca. Duke informuar përdoruesit, zhvilluesit dhe vetters Mozilla për këtë çështje, të gjithë mund të jenë në vëzhgim të listës së zezë të zgjerimeve me qëllim të keq.

“Natyrisht, ne nuk kemi ndërmend që vepra jonë të interpretohet si një sulm ndaj përpjekjeve të kuadrove të vetting-ut të Firefox-it, të cilët kanë një punë të rëndësishme dhe të vështirë …”, shkruajtën ata në letër. “Sidoqoftë, eksperimentet tona demonstrojnë se mjetet e tanishme [të mjeteve të verifikimit të shtesave] janë të pamjaftueshme për të trajtuar këtë klasë sulmi, dhe teknikat që ne propozojmë mund të shërbejnë si hap i parë drejt forcimit të procesit të verifikimit për të zbuluar dobësitë e ripërdorimit të shtrirjes.”

Ekipi po transferon gjithashtu projektin CrossFire në GitHub. Kur është në dispozicion, çdokush mund të paraqesë një shtesë si një input dhe të shikojë dobësitë e ripërdorimit të kodit brenda tij. Zhvilluesit atëherë do të jenë në gjendje të lëshojnë azhurnime për të rregulluar gabimet.

Isshtë një fix universal që po zhvillohet?

Po. Studimi nxiti një përgjigje të shpejtë nga Mozilla: “Sepse rreziqetRiparimet e ripërdorimit të sulmit të gjetura në shtesat e sigurisë së Firefox-it si ky ekziston, ne jemi duke evoluar si produktin tonë thelbësor ashtu edhe platformën tonë të zgjerimeve për të ndërtuar një siguri më të madhe. “

Kompania vëren se shtesat e shkruara përmes platformës së re të WebExtensions (të disponueshme në beta me Firefox 46) parandalojnë problemin. Gjithashtu, kur Projekti i Elektrolizës Mozilla fillon më vonë këtë vit, zgjatjet do të izolohen me anë të sandbox. Kjo zhvendosje do të parandalojë çdo zgjatje dashakeqe nga komunikimi me një të prekshëm.

përfundim

Meqenëse cenueshmëria shtrihet pothuajse në të gjitha shtesat më të njohura, kërcënimi i sulmeve të ripërdorimit nuk mund të merret lehtë. Sidoqoftë, është e rëndësishme të stresohet që instalimi vigjilent i shtesës së shoqëruar me një kontroll më të afërt nga vetterët dhe zhvilluesit duhet të parandalojë shtesat me qëllim të keq të hyjnë në bibliotekën e Firefox-it. Pra, sigurohuni që të shkarkoni shtesat e besimit të besueshëm që janë aktualizuar azhurnuar nga tani e tutje, ose të paktën deri sa të implementohet projekti i elektrolizës.

Siguruesi i Rendit Vlerësimi ynë i Përdoruesit
Zgjedhja e redaktorit 5.0 / 5
Lexoni Shqyrtimin
Zbulo me shume Fillo >> Vizitoni sitin
2 4.9 / 5
Lexoni Shqyrtimin
Zbulo me shume Fillo >> Vizitoni sitin
3 4.8 / 5
Lexoni Shqyrtimin
Zbulo me shume Fillo >> Vizitoni sitin
4 4.8 / 5
Lexoni Shqyrtimin
Zbulo me shume Fillo >> Vizitoni sitin
5 4.7 / 5
Lexoni Shqyrtimin
Zbulo me shume Fillo >> Vizitoni sitin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map