Zero
Mozilla a éradiqué 23 Firefox add-ons pour le suivi de la navigation de l’utilisateur habitudes et secrètement l’envoi de données vers des serveurs distants.
Le changement a été motivé par la Sécurité Web, un navigateur Firefox add-on qui a été trouvé à être suivi de la page web visites et d’envoyer cette information à un serveur en Allemagne.
L’add-on a été téléchargé plus de 220 000 fois.
La Sécurité sur le Web a été initialement inclus dans une liste de modules recommandés posté sur le site officiel de Firefox blog la semaine dernière.
Toutefois, la recommandation a été discrètement retiré après l’allemand chercheur en sécurité Mike Kuketz a révélé que le logiciel envoie les données de l’utilisateur à un serveur sur un HTTP non canal, exposant potentiellement les utilisateurs à l’écoute et la Man-in-The-Middle (MiTM) les attaques.
Mozilla dit ZDNet à la fois que le problème a été en cours d’étude.
Des Suggestions ont également été faites par les utilisateurs de Firefox que d’autres add-ons mené le même type d’activités, Firefox a pris au sérieux.
Dans un Bugzilla de Mozilla mise à jour, ingénieur Jorge Villalobos, a déclaré que bien qu’il soit raisonnable pour certains add-ons pour vérifier des pages web afin de déterminer si oui ou non ils sont en sécurité, des questions supplémentaires ont également été évoqués.
Voir aussi: Instagram hack est le verrouillage des centaines d’utilisateurs de leurs comptes
Les données envoyées à une mauvaise manière, comme l’utilisation de HTTP au lieu de HTTPS — plus d’informations que nécessaire d’être transférés ailleurs, un manque de communication et le code qui a “le potentiel de l’exécution de code à distance, qui est partiellement masquée dans sa mise en œuvre” ont tous soulevé des drapeaux rouges à Firefox.
TechRepublic: Firefox Quantique: Une feuille de triche pour les professionnels
En conséquence, le Web extension de Sécurité a été supprimé dans le cadre plus large d’une purge. Les add-ons supprimé par Firefox ont été répertoriés par numéro d’identification et d’inclure la Sécurité du Navigateur, SmartTube, DirtyLittleHelpers, YTTools, et Rapide AMZ.
Cependant, d’après les ingénieurs inspecté les extensions, il est apparu que plusieurs add-ons agissant sous des noms différents, tous ont le “même code”, selon Villalobos.
“Une inspection plus poussée révèle ils peuvent tous être de la même personne/groupe,” l’ingénieur dit.
CNET: Brave navigateur se rapprocher de Chrome, y compris ses extensions
Les extensions ne sont plus disponibles pour le téléchargement et les utilisateurs actuels de l’extension trouverez les add-ons ont été désactivés.
Le samedi, la Sécurité Web fourni la déclaration suivante:
“Sans se poser de question, nous avons fait des erreurs dans notre gratuit add-ons pour laquelle nous tenons sincèrement à m’excuser. […]
Cryptage (SSL): La communication de nos add-ons avec les serveurs n’était pas totalement chiffré. Cela a été corrigé sur le côté serveur et une mise à jour pour les add-ons est prêt et peut être lancé dès que Mozilla déverrouille les add-ons. […]
Nous transférons les données suivantes: – ID – Vieux URL / ancien hôte – Nouvelle URL / nouvel hôte – hash – App – Agent de Langue. Nous utilisons l’ID de construire une chaîne de sécurité qui peut comprendre jusqu’à cinq requêtes consécutives.
L’utilisateur doit entrer un site web malveillant, puis le transfert “ancienne URL” et la “nouvelle adresse” peut être utilisé pour suivre site web à partir de laquelle l’utilisateur est venu à ce site web malveillant. Avec ce système, les pages malveillantes obtenir un “rouge” de notation. Les Pages qui pointent vers “rouge” pages “jaune” de notation. Toutes ces données sont utilisées pour améliorer notre heuristique et l’analyse de la menace. Les données transmises sont stockées pour une durée maximale de 15 minutes sur nos serveurs allemands et ne peuvent pas être utilisées pour identifier une personne physique.
Nous utilisons pour le transfert de “App”, “Agent”, “Langue” et “Hash” pour des raisons statistiques. Dans le cadre des mises à jour, toutefois, ces données seront supprimées dans la prochaine mise à jour.
Afin d’éviter toute ambiguïté, nous permettra de préciser davantage les explications de ce que les données sont transférées et ce qu’il est utilisé dans plus de détails.
Exécution de Code à distance: Malheureusement, dans le cours de de même, aucun projet de développement de logiciel restes de l’ancien code de programme sont toujours laissées. Tel a été le cas pour nous, cependant, comme indiqué dans 7 des 10 add-ons, ce code de programme n’était plus fonctionnelle. Dans le passé, cette fonctionnalité a été utilisé pour alerter l’utilisateur de menaces critiques sans avoir à subir la longue procédure de mise à jour. Mozilla nouvelle mise à jour de la politique rend cette fonctionnalité obsolète et présente la fonctionnalité n’est plus en usage. Avec la future mise à jour, les fragments restants seront supprimés de façon permanente.
En outre, nous permettra d’améliorer notre qualité de gestion de l’assurance pour éviter de tels extraits de code ou des erreurs dans la [future]. Nous regrettons l’incident et que vous souhaitez avoir la possibilité de regagner la confiance placée en nous par les utilisateurs.”
Mise à jour de 17,8 20.08 BST: Bloqueur de pop-up Ultime incorrecte a été inclus dans la liste des interdits add-ons. Cela a été corrigé en conséquence.
Précédente et de la couverture liée
Grave vulnérabilité expose de sites WordPress à l’attaque de Google développe un bug du programme de primes à la fraude de contournement de protection, des achats Firefox add-on des fouineurs sur les 200 000 activités de navigation des utilisateurs
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0