door Martin Brinkmann op augustus 17, 2018 in het Firefox – Geen reacties
Mozilla verwijderd 23 Firefox extensies uit de officiële Firefox Addons website van Mozilla AMO en browsers de extensies zijn geïnstalleerd in vandaag.
Het verbod van invloed op 23-extensies voor Firefox die werden geïnstalleerd door meer dan 500.000 gebruikers van de browser. De lijst bevat de beruchte Web Security extension die Mozilla gemarkeerd als een “grote” privacy extension in een blog post op de officiële site voor het verwijderen van een referentie zonder vermelding van het feit in de blog post.
Web Security had 220.000 mee gebruikers op dat moment; andere verboden extensies zijn Facebook Video Downloader, Popup-Blocker, Eenvoudig Zoeken, het Automatisch Vernietigen van Cookies, of Google NoTrack.
Een bug rapport op de officiële Bugzilla, maar het bijhouden van de site die Mozilla lijsten van alle de extensie-Id ‘ s die zijn getroffen.
Mozilla Ingenieur Rob Wu geanalyseerd van de Web Security extension na het raken van het nieuws. Hij maakte het besluit om te zoeken naar de Veiligheid van het Web patronen in alle publiek beschikbare Firefox extensies en vond extensies die gebruikt soortgelijke snooping code. In feite, alle extensies werden gevonden om gegevens te verzenden naar de server die de Veiligheid van het Web verbonden.
Alle extensies verzamelde gegevens van de gebruiker en verzonden gegevens te verwijderen van de servers volgens Mozilla.
Wu rapporteerde zijn bevindingen aan Mozilla die de Id ‘ s van de uitbreiding van de bloklijst de organisatie onderhoudt en verwijderen van de add-ons van de Mozilla website.
Extensies die het land op de bloklijst worden automatisch uitgeschakeld als ze zijn geïnstalleerd in Firefox en niet meer bruikbaar. Firefox-Add-ons bloklijst is een openbaar register dat iedereen kan.
De bloklijst heeft drie inzendingen voor de maand augustus van 16 en één van hen is voor de Veiligheid van het Web en andere add-ons.
Web Security en anderen-het Verzenden van gegevens van de gebruiker aan de remote servers onnodig, en de mogelijkheden voor uitvoering van externe code. Verdachte activiteit van een account voor meerdere accounts op AMO.
Mozilla publiceerde een verklaring waarom het maakte de beslissing om de extensies voor Firefox op Bugzilla:
- De extensies verzonden worden meer gegevens naar externe servers dan leek noodzakelijk.
- Sommige van de data wordt verstuurd over onveilige verbindingen.
- De gegevens verzamelen en verzenden is niet duidelijk gemaakt of vermeld duidelijk afgezien van het feit, geopenbaard in een grote privacy-beleid.
- Het potentieel om het uitvoeren van code op afstand is gebouwd in de extensies, en gedeeltelijke verduistering is gebruikt voor de identificatie ingewikkelder.
- Dezelfde code bestaat in meerdere add-ons die hebben verschillende functies en van verschillende auteurs. Het blijkt dat dezelfde ontwikkelaar of een groep is achter al deze uitbreidingen.
Slotwoord
Het verwijderen van extensies in Mozilla AMO en het gebruik van de bloklijst functie die ze uitgeschakeld in Firefox installaties was de juiste zet door Mozilla.
Men heeft te vragen, maar waarom deze uitbreidingen waren niet geblokkeerd wordt weergegeven op de eerste plaats. Mozilla veranderde het review proces voor Firefox WebExtensions in 2017 uit handleiding (menselijke) beoordelingen automatisch (computer) beoordelingen. De menselijke beoordelingen zijn nog een ding op Mozilla AMO, maar kunnen extensies van het land in de Winkel als ze overgaan automatische beoordelingen.
Terwijl dat vermindert de tijd die het duurt om het publiceren van nieuwe uitbreidingen en extensie updates, het betekent ook dat de kans dat kwaadaardige, privacy-invasieve, of anderszins problematische extensies land in de Winkel.
Mozilla had om op te treden in het verleden meerdere malen al, bijvoorbeeld wanneer verschillende crypto mijnbouw extensies werden ontketend. Het systeem is niet zo slecht als Google ‘ s Chrome-extensies, maar het is verre van perfect veilig. (via Bleeping Computer)
Nu U: Wat is uw mening over dit?