在新加坡举办的亚洲黑帽安全会议上,美国 Ahmet Buyukkayhan、William Robertson 这两位资安专家提出警告,表示 Firefox 的附加元件很容易被其他骇客拿来利用,变成攻击使用者的工具,两名专家并且示范了他们怎么利用自制的恶意附加元件,感染到其他“好的”附加元件上头。
这两名安全专家,在过去两年的时间里研究并建立了名为“extension reuse”的病毒攻击方式。功能是可以去自动感染其他的附加元件。而且随着他们取得了其他附加元件的控制权之后,就可以不断的提高自己在 Fioirefox 里的权限,拥有更多的能力。
他们表示,“extension reuse”这种方式要入侵 Firefox 并且最终取得权限的条件限制其实相当多,首先,要攻击的这台电脑中的 Firefox 中,首先使用这必须要先安装一个已经被感染的“extension reuse”,其次,是 Firefox 里头还要安装其他可以被攻击的附加元件。
不过,虽然不是所有的附加元件都能够被攻击,但是他们找到至少目前 Firefox 上面的热门附加元件中,就有十多种可以轻易被攻击,其中包括有 GreaseMonkey add-on(超过 150 万安装人数)、Video DownloadHelper(650 万安装人数)、NoScript(250 万安装人数)。
伪病毒上架却无人发现
为了验证他们的发现,他们做了一个名叫“ValidateThisWebsite”的附加元件上传到 Firefox 的附加元件商店并且接受审核,他们上传的这个附加元件虽然会感染其他元件,不过从行为上来说则是并没有任何的危害行为,因此在机器审核上就通过了。
而之后,他们更大的的要求了人工审核的“fully reviewed”,这是更高阶的对附加元件的审核方式,这个伪病毒程式只有 50 条程式码,而且程式码看起来简洁易懂,而 Mozilla 的审核人员几乎没有任何异议,就通过了这个附加元件的审核。
他们表示,虽然很多人都对浏览器内建的这种商店机制感到很安心,觉得经过审核后的元件应该就很安全。不过事实上这也成了一种保护色,让一些有潜在风险的附加元件得以大方的进入你的浏览器。
他们在会后也表示已经将相关资料提供给 Mozilla 的人员,帮助他们提高 Firefox 的安全性。Firefox 也发表声明表示将会针对这份研究中揭露出来的问题,去解决相关的漏洞。
- CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities
- Firefox Extensions May Be the Harbingers of Malicious Attacks
- Top Firefox extensions can hide silent malware using easy pre-fab tool
(本文由 T客邦 授权转载;首图来源:达志影像)
