Nio av de tio mest populära Firefox add-ons, baserat på användare, är utsatta för förlängning återanvändning sårbarheter som gör att skadliga tillägg för att utnyttja dessa sårbarheter.
Add-ons är ett av kännetecknen för Firefox webbläsare. De mest populära Firefox-tillägg används av miljontals användare, och eftersom förlängningen systemet begränsar inte lägga-på-utvecklare så mycket som på andra plattformar, lägga till några mirakulösa saker till webbläsare som inte är möjligt någon annanstans.
Samtidigt som forskare har analyserat säkerheten för de risker som är förknippade med en “allt går” add-on system och särskilt tillägg som utnyttjar det, knappt någon forskning gick till att analysera samspelet mellan flera tillägg installerat i webbläsaren Firefox på samma gång på grund av en brist på förlängning isolering.
I uppsatsen CrossFire: En Analys av Firefox Extension Återanvändning Sårbarheter, forskare visar i en ny klass av Firefox extension attacker som utnyttjar vad de kallar förlängning-återanvändning sårbarheter.
I lekmän termer, det handlar om en förlängning med funktionalitet som tillhandahålls av andra för att inleda attacker.
Sårbarheten bygger på Firefox nuvarande system för förlängning, och det är särskilt på det faktum att Firefox-tillägg kan dela samma JavaScript-namnområdet. Medan Mozilla föreslås i det förflutna som tillägg använd unika namnrymder, konsekvenser för säkerheten har inte undersökts för det mesta.
I grund och botten, vad det betyder är att en förlängning skulle kunna “läsa från och skriva till globala variabler som definieras av andra, samtal eller åsidosätta alla globala funktioner och ändra objekt instansieras”.
Figuren visar hur skadlig förlängning M utnyttjar funktionerna i två legitima tillägg att ladda ner och köra koden.
Samtidigt som skadliga tillägg kan utföra dessa åtgärder, såväl direkt, den grundläggande skillnaden ligger i det faktum att dessa skadliga tillägg inte kommer att passera Mozilla: s översyn nödvändigtvis vilket innebär att de inte kommer att göras tillgänglig på det officiella Mozilla Add-ons butik.
Forskarna observera att tillägg utnyttja förlängning-återanvändning sårbarheter är svårare att upptäcka eftersom de inte göra direkta anrop till Api: er som gör det möjligt för attacken, och att det skulle ta avsevärd ansträngning av recensenter för att upptäcka ont uppsåt.
För att visa detta, en Firefox add-on var fram och lämnats in till Firefox add-on förrådet som var utformad för att validera HTML-sidor. En cross-förlängning samtal för att utnyttja funktionerna i den populära NoScript tillägg lades till add-on som är ansluten till en URL i smyg samt mobilisera en global NoScript variabel.
De inlämnade förlängning passerade automatiserade och mänskliga review process utan säkerhet varningar.
Enligt forskning, nio av tio av de mest populära Firefox-tillägg är sårbara för denna attack form, inklusive NoScript, Firebug, FlashGot och Web of Trust. Ytterligare analys av ett urval av 351 tillägg av 2000 visade att mer än 72% var utsatta för förlängning-återanvändning av attacker.
Varningar
För förlängning-återanvändning attacker för att arbeta, Firefox-användare måste installera både skadliga förlängning och minst ett annat tillägg som skadlig förlängning utnyttjar.
Forskarna visat att skadliga förlängningar kan passera Mozilla ‘ s automatiserade och fullständig översyn validering för närvarande vilket ökar chansen att Firefox-användare ladda ned och installera dem på sina system.
Men, ett nytt verktyg som heter CrossFire skapades som automatiserar processen med att hitta förlängning-återanvändning sårbarheter i add-ons vilket bör minska risken för att detta sker.
En kommentar av Firefox: s vice vd på Ars Technica framhåller att Mozilla planerar att införa Firefox add-on sandbox att organisationen planerar att införa som en del av sin multi-processen arkitektur och genomförande.