Популярные расширения для Firefox могут скрывать вредоносную активность за легитимными процессами

Экспертам удалось загрузить в каталог дополнений Firefox вредоносное расширение ValidateThisWebsite, содержащее 50 строк необфусцированного кода.

Наиболее популярные расширения для браузера Mozilla Firefox могут содержать вредоносный код, позволяющий злоумышленникам получить информацию о просматриваемых в интернет-обозревателе страницах, паролях, а также данные о системе и пр., сообщает интернет-издание The Register.

В рамках проходившей в Сингапуре конференции Black Hat Asia профессор Северо-восточного университета в Бостоне Уильям Робертсон (William Robertson) и доктор Бостонского университета Ахмед Буйукайхан (Ahmet Buyukkayhan) продемонстрировали, как злоумышленники могут проэксплуатировать известные уязвимости в популярных дополнениях для Firefox и внедрить в них вредоносный код. К примеру, киберпреступники могут создать копию легитимного расширения, добавив в него вредоносный функционал.

Эксперты составили список дополнений, уязвимых к 255 эксплоитам. В него вошли NoScript (2,5 млн активных пользователей), Video DownloadHelper (6,5 млн пользователей), GreaseMonkey (1,5 млн пользователей) и пр. Примечательно, расширение Adblock Plus (22 млн активных пользователей) оказалось не подвержено данным уязвимостям. Для идентификации уязвимых расширений специалисты использовали разработанный ими фреймворк Crossfire.

В качестве PoC-демонстрации Робертсон и Буйукайхан загрузили вредоносное расширение ValidateThisWebsite в официальный каталог дополнений Firefox, содержащее 50 строк необфусцированного кода. Отметим, расширение успешно прошло все проверки Mozilla.

Эксперты уже передали результаты своего исследования сотрудникам Mozilla. На данный момент черный список компании включает 161 расширение, однако с появлением нового вектора атаки их число может стать гораздо больше.

http://www.securitylab.ru/news/480603.php

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *