安全專家成功自製帶病毒感染Firefox附加元件,上傳到官方商店還通過人工審核

安全專家成功自製帶病毒感染Firefox附加元件,上傳到官方商店還通過人工審核

在新加坡舉辦的亞洲黑帽安全會議上,美國Ahmet Buyukkayhan、William Robertson這兩位資安專家提出警告,表示Firefox的附加元件很容易被其它駭客拿來利用,變成攻擊使用者的工具,兩名專家並且示範了他們怎麼利用自製的惡意附加元件,感染到其它「好的」附加元件上頭。

這兩名安全專家,在過去兩年的時間裡研究並建立了名為「extension reuse」的病毒攻擊方式。功能是可以去自動感染其它的附加元件。而且隨著他們取得了其它附加元件的控制權之後,就可以不斷的提高自己在Fioirefox裡頭的權限,擁有更多的能力。

安全專家成功自製帶病毒感染Firefox附加元件,上傳到官方商店還通過人工審核

他們表示,「extension reuse」這種方式要入侵Firefox並且最終取得權限的條件限制其實相當多,首先,要攻擊的這台電腦中的Firefox中,首先使用這必須要先安裝一個已經被感染的「extension reuse」,其次,是Firefox裡頭還要安裝其它可以被攻擊的附加元件。

不過,雖然不是所有的附加元件都能夠被攻擊,但是他們找到至少目前Firefox上面的熱門附加元件中,就有10多種可以輕易被攻擊,其中包括有GreaseMonkey add-on (超過150萬安裝人數)、Video DownloadHelper (650萬安裝人數)、NoScript (250萬安裝人數)。

安全專家成功自製帶病毒感染Firefox附加元件,上傳到官方商店還通過人工審核

 

偽病毒上架卻無人發現

為了驗證他們的發現,他們做了一個名叫「ValidateThisWebsite」的附加元件上傳到Firefox的附加元件商店並且接受審核,他們上傳的這個附加元件雖然會感染其它元件,不過從行為上來說則是並沒有任何的危害行為,因此在機器審核上就通過了。

而之後,他們更大的的要求了人工審核的「fully reviewed」,這是更高階的對附加元件的審核方式,這個偽病毒程式只有50條程式碼,而且程式碼看起來簡潔易懂,而Mozilla的審核人員幾乎沒有任何異議,就通過了這個附加元件的審核。

安全專家成功自製帶病毒感染Firefox附加元件,上傳到官方商店還通過人工審核

他們表示,雖然很多人都對瀏覽器內建的這種商店機制感到很安心,覺得經過審核後的元件應該就很安全。不過事實上這也成了一種保護色,讓一些有潛在風險的附加元件得以大方的進入你的瀏覽器。

他們在會後也表示已經將相關資料提供給Mozilla的人員,幫助他們提高Firefox的安全性。Firefox也發表聲明表示將會針對這份研究中揭露出來的問題,去解決相關的漏洞。

 

資料來源:softpediatheregister

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
Shinwill
1.  Shinwill (發表於 2016年4月17日 14:16)
根據同樣的道理
App Store 與 Google Play 也都不是安全的
不知道為何還有人仍堅持 iPhone 絕對不會中毒

天底下沒有絕對安全的系統
只有相對安全的做法
發表回應
謹慎發言,尊重彼此。按此展開留言規則