par Martin Brinkmann le 17 août 2018 dans Firefox – 6 commentaires
Mozilla purgé 23 extensions Firefox officielle des Addons Firefox site web Mozilla AMO et les navigateurs les extensions ont été installés aujourd’hui.
L’interdiction affecte 23 extensions pour Firefox qui ont été installés par plus de 500 000 utilisateurs du navigateur. La liste comprend la tristement célèbre Web de Sécurité de l’extension de Mozilla mis en évidence comme un “grand” extension de confidentialité dans un billet de blog sur le site officiel avant de supprimer toute référence, sans mentionner le fait dans le billet de blog.
Web Sécurité avait de 220 000 utilisateurs à ce moment; d’autres interdits extensions comprennent Facebook Video Downloader, des pop-up Blocker, il suffit de Rechercher, Auto Détruire les Cookies, ou Google NoTrack.
Un rapport de bug sur le Bugzilla, mais suivi de site que Mozilla tient une liste de toutes les extension des Identifiants qui sont touchés.
Mozilla Ingénieur Rob Wu analysé le Web extension de Sécurité après avoir frappé la nouvelle. Il a pris la décision de recherche pour le Web, les modèles de Sécurité dans tous accessibles extensions Firefox et trouvé des extensions qui utilisent les mêmes snooping code. En fait, toutes les extensions ont été trouvés pour envoyer des données au serveur Web de Sécurité connecté.
Toutes les extensions de données de l’utilisateur recueillies et envoyées les données pour supprimer des serveurs selon Mozilla.
Wu a annoncé ses résultats pour Mozilla qui a ajouté l’Id de l’extension de la liste rouge de l’organisation maintient et supprimé les add-ons de Mozilla site web.
Les Extensions de terres sur la liste noire d’adresses sont automatiquement désactivés s’ils sont installés dans Firefox et ne sont plus utilisables. Firefox Add-ons liste de blocs est une liste publique que tout le monde peut accéder.
La liste de blocs a trois entrées pour le 16 août, et l’un d’eux est pour la Sécurité Web et d’autres add-ons.
La Sécurité Web et d’autres, l’Envoi de données de l’utilisateur à des serveurs distants inutilement, et le potentiel pour l’exécution de code à distance. Suspects compte de l’activité pour plusieurs comptes sur AMO.
Mozilla a publié une explication de pourquoi il a pris la décision de bloquer les extensions pour Firefox sur Bugzilla:
- Les extensions envoyé plus de données sur des serveurs distants que semblait nécessaire.
- Certaines données sont transmises à travers des connexions non sécurisées.
- La collecte des données et l’envoi n’est pas clair ou communiqués clairement en plus d’être révélé dans une grande politique de confidentialité.
- Le potentiel d’exécuter du code à distance est intégré dans les extensions, et partielle de l’obfuscation est utilisé pour rendre l’identification plus compliqué.
- Même code existe dans plusieurs add-ons qui ont des caractéristiques différentes et de différents auteurs. Il semble que le même développeur ou le groupe qui est derrière toutes ces extensions.
Le Mot De La Fin
Suppression des extensions de Mozilla AMO et de l’utilisation de la liste de blocs fonction pour obtenir handicapé dans Firefox installations a le droit de se déplacer par Mozilla.
On peut se demander, toutefois, pourquoi ces extensions n’ont pas été bloqués d’être répertorié en premier lieu. Mozilla a changé le processus d’examen pour Firefox WebExtensions en 2017 à partir du manuel (de l’homme) examens automatique (ordinateur) des examens. D’examens sont encore une chose sur Mozilla AMO mais les extensions peuvent atterrir dans le Magasin quand ils passent automatique des examens.
Tout ce qui diminue le temps nécessaire pour publier les nouvelles extensions et les mises à jour d’extension, il signifie aussi que la chance que malveillant, de la vie privée envahissantes, ou autrement problématiques des extensions de terres dans le Magasin.
Mozilla ont dû intervenir à plusieurs reprises dans le passé déjà, par exemple lorsque plusieurs crypto mining extensions ont été relâchés. Le système n’est pas aussi mauvais que Google pour les extensions de Chrome, mais il est loin d’être parfaitement sûr. (via Bleeping Computer)
Maintenant, Vous: Quelle est votre opinion à ce sujet?