Ni af de ti mest populære Firefox add-ons, der er baseret på brugere, der er sårbare over for forlængelse genbrug sårbarheder, som tillader skadelig udvidelser til at udnytte disse svagheder.
Add-ons er et af kendetegnene for Firefox web browser. De mest populære Firefox add-ons bruges af millioner af brugere, og da den udvidelse, i stedet begrænser ikke add-on udviklere så meget som på andre platforme, tilføje nogle mirakuløse ting til browseren, som ikke er mulige andre steder.
Mens forskere har analyseret de sikkerhedsmæssige risiko, der er forbundet med en “alt går” add-on system og især add-ons at udnytte det, næsten ingen forskning, der gik ind i at analysere samspillet mellem flere udvidelser, der er installeret i Firefox web-browser på samme tid på grund af manglende forlængelse af isolation.
I forskning papir CrossFire: En Analyse af Firefox Udvidelse, genbrug Sårbarheder, forskerne demonstrere en ny klasse af Firefox extension angreb, der udnytter, hvad de kalder extension-genbrug sårbarheder.
I lægmand vilkår, det er om en udvidelse ved hjælp af den funktionalitet, der leveres af andre til at iværksætte angreb.
Den sårbarhed, som er baseret på Firefox ‘ s nuværende udvidelse system, og at der især på det faktum, at Firefox-udvidelser kan dele den samme JavaScript namespace. Mens Mozilla foreslog tidligere, at udvidelser bruge unikke navnerum, de sikkerhedsmæssige konsekvenser ikke er blevet undersøgt for det meste.
Dybest set, hvad det betyder, at en udvidelse kunne “læse fra og skrive til de globale variabler, der er defineret af andre, så ring eller tilsidesætte alle globale funktioner, og ændre objekter instantieres”.
Figuren viser, hvordan ondsindede udvidelse M udnytter mulighederne i to legitime udvidelser for at downloade og eksekvere kode.
Mens ondsindede extensions kan udføre disse operationer direkte, det centrale forskel består i, at disse ondsindede udvidelser ikke vil gå på Mozilla ‘ s review-processen nødvendigvis, hvilket betyder, at de ikke vil blive gjort tilgængelige på den officielle Mozilla Add-ons butik.
Forskerne bemærk, at add-ons at udnytte extension-genbrug sårbarheder er sværere at opdage, da de ikke foretage direkte opkald til de Api ‘ er der giver angrebet, og at det ville kræve en betydelig indsats fra anmelderne til at opdage ondsindede hensigter.
For at demonstrere dette, en Firefox add-on var udviklet og forelagt til Firefox add-on-register, som var designet til at validere HTML-sider. En cross-udvidelse opfordring til at udnytte evner i den populære NoScript add-on blev tilføjet til add-on, der er forbundet til en WEBADRESSE, listende, så godt udnytte en global NoScript variabel.
De indsendte udvidelse bestået automatiseret og human review-processen uden sikkerhed og advarsler.
Ifølge den forskning, ni ud af ti af de mest populære Firefox-extensions er sårbar over for dette angreb form, herunder NoScript, Firebug, FlashGot og Web of Trust. Yderligere analyse af en prøve af 351 extensions ud af top 2000 viste, at mere end 72% var sårbare over for forlængelse-genbrug angreb.
Forbehold
For extension-genbrug-angreb til at arbejde, Firefox-brugere er nødt til at installere ondsindet udvidelse og mindst én anden udvidelse, at den ondsindede udvidelse udnytter.
Forskerne viste, at ondsindede udvidelser kan passere Mozilla ‘ s automatiske og fuld gennemgang validering i øjeblikket, som øger chancen for, at Firefox-brugere hente og installere dem på deres systemer.
Men et nyt værktøj kaldet CrossFire blev oprettet, der automatiserer processen med at finde extension-genbrug sårbarheder i add-ons, der skal mindske sandsynligheden for at det sker.
En kommentar af Firefox ‘ s vice president på Ars Technica fremhæver, at Mozilla har planer om at indføre Firefox add-on sandboxing, at organisationen har planer om at indføre som en del af sin multi-proces, arkitektur og implementering.