av Martin Brinkmann på August 17, 2018 i Firefox – 9 kommentarer
Mozilla fjernet 23 Firefox utvidelser fra de offisielle Firefox Addons nettstedet Mozilla AMO og nettlesere utvidelser ble installert i dag.
Forbudet påvirker 23 utvidelser for Firefox som ble installert med mer enn 500 000 brukere av nettleseren. Listen omfatter den beryktede Internett-Sikkerhet extension som Mozilla fremhevet som en “stor” privacy extension i et blogginnlegg på det offisielle nettstedet før du sletter alle referanser uten å nevne det faktum i blogginnlegget.
Web Security hadde 220,000 brukere på den tiden; andre utestengt utvidelser Facebook Video Downloader, Popup-Blokkering, Enkelt Søk, Automatisk Ødelegge Informasjonskapsler, eller Google NoTrack.
En feilrapport på den offisielle Bugzilla, men sporing nettsted som Mozilla vedlikeholder lister alle extension-Ider som er berørt.
Mozilla Ingeniør Rob Wu analysert for Internett-Sikkerhet extension etter det traff nyheter. Han tok beslutningen om å søke etter Internett-Sikkerhet mønstre i alle offentlig tilgjengelige Firefox utvidelser og funnet utvidelser som brukes lignende snusing kode. Faktisk, alle utvidelser ble funnet å sende data til samme server som Web Security koblet til.
Alle utvidelser som samles inn bruker-data og sende data til å fjerne servere i henhold til Mozilla.
Wu rapporterte sine funn til Mozilla-prosjektet som er lagt til Id-ene for utvidelse til sperreliste organisasjonen opprettholder og fjernet add-ons fra Mozilla nettstedet.
Utvidelser som landet på sperreliste er automatisk deaktivert hvis de er installert i Firefox, og er ikke lenger brukbare. Firefox Add-ons sperreliste er en offentlig liste at alle kan få tilgang.
Den sperreliste har tre oppføringer for August 16, og en av dem er til Web Sikkerhet og andre add-ons.
Internett-Sikkerhet og andre-Sending bruker data til eksterne servere unødvendig, og potensial for ekstern kjøring av kode. Mistenkelig aktivitet på kontoen for flere kontoer på AMO.
Mozilla har publisert en forklaring på hvorfor det tok beslutningen om å blokkere utvidelser for Firefox på Bugzilla:
- Utvidelser sendt mer data til eksterne servere enn syntes nødvendig.
- Noen av dataene er sendt over usikre tilkoblinger.
- Det å samle inn data og sender er ikke gjort klart eller formidlet tydelig bortsett fra å bli avslørt i en stor personvern.
- Mulighet til å kjøre kode eksternt er bygget inn i utvidelser, og delvis obfuscation er brukt til å lage identifikasjon mer komplisert.
- Samme kode finnes i flere add-ons som har ulike funksjoner og ulike forfattere. Det ser ut til at den samme utbygger eller gruppe som står bak alle disse utvidelsene.
Avsluttende Ord
Fjerning av extensions fra Mozilla AMO og bruk av sperreliste-funksjonen for å få dem deaktivert i Firefox installasjoner var den høyre trekk av Mozilla.
En må spørre seg, hvorfor disse utvidelsene ikke var blokkert fra å bli oppført i første omgang. Mozilla endret vurderingsprosessen for Firefox WebExtensions i 2017 fra manuell (human) vurderinger for å automatisk (datamaskin) omtaler. Menneskelige anmeldelser er fortsatt en ting på Mozilla AMO men utvidelser kan lande i Butikken når de passerer automatisk anmeldelser.
Samtidig som reduserer tiden det tar å publisere nye utvidelser og utvidelse oppdateringer, betyr det også at sjansen for at ondsinnede, personvern invaderer, eller på annen måte problematisk utvidelser land i Butikken.
Mozilla måtte gå i flere ganger i det siste allerede, for eksempel når flere crypto mining utvidelser ble sluppet løs. Systemet er ikke på langt nær så ille som Google er for Chrome-utvidelser, men det er langt fra å være helt trygg. (via Bleeping Datamaskin)
Nå er Du: Hva er din ta på seg dette?