2016.04.17 14:00

安全專家成功自製帶病毒感染Firefox附加元件,上傳到官方商店還通過人工審核

ADVERTISEMENT

在新加坡舉辦的亞洲黑帽安全會議上,美國Ahmet Buyukkayhan、William Robertson這兩位資安專家提出警告,表示Firefox的附加元件很容易被其它駭客拿來利用,變成攻擊使用者的工具,兩名專家並且示範了他們怎麼利用自製的惡意附加元件,感染到其它「好的」附加元件上頭。

這兩名安全專家,在過去兩年的時間裡研究並建立了名為「extension reuse」的病毒攻擊方式。功能是可以去自動感染其它的附加元件。而且隨著他們取得了其它附加元件的控制權之後,就可以不斷的提高自己在Fioirefox裡頭的權限,擁有更多的能力。

ADVERTISEMENT

他們表示,「extension reuse」這種方式要入侵Firefox並且最終取得權限的條件限制其實相當多,首先,要攻擊的這台電腦中的Firefox中,首先使用這必須要先安裝一個已經被感染的「extension reuse」,其次,是Firefox裡頭還要安裝其它可以被攻擊的附加元件。

不過,雖然不是所有的附加元件都能夠被攻擊,但是他們找到至少目前Firefox上面的熱門附加元件中,就有10多種可以輕易被攻擊,其中包括有GreaseMonkey add-on (超過150萬安裝人數)、Video DownloadHelper (650萬安裝人數)、NoScript (250萬安裝人數)。

ADVERTISEMENT

 

偽病毒上架卻無人發現

為了驗證他們的發現,他們做了一個名叫「ValidateThisWebsite」的附加元件上傳到Firefox的附加元件商店並且接受審核,他們上傳的這個附加元件雖然會感染其它元件,不過從行為上來說則是並沒有任何的危害行為,因此在機器審核上就通過了。

而之後,他們更大的的要求了人工審核的「fully reviewed」,這是更高階的對附加元件的審核方式,這個偽病毒程式只有50條程式碼,而且程式碼看起來簡潔易懂,而Mozilla的審核人員幾乎沒有任何異議,就通過了這個附加元件的審核。

ADVERTISEMENT

他們表示,雖然很多人都對瀏覽器內建的這種商店機制感到很安心,覺得經過審核後的元件應該就很安全。不過事實上這也成了一種保護色,讓一些有潛在風險的附加元件得以大方的進入你的瀏覽器。

他們在會後也表示已經將相關資料提供給Mozilla的人員,幫助他們提高Firefox的安全性。Firefox也發表聲明表示將會針對這份研究中揭露出來的問題,去解決相關的漏洞。

ADVERTISEMENT

 

資料來源:、

ADVERTISEMENT