Наиболее популярные расширения для браузера Mozilla Firefox могут содержать вредоносный код, позволяющий злоумышленникам получить информацию о просматриваемых в интернет-обозревателе страницах, паролях, а также данные о системе и пр.
В рамках проходившей в Сингапуре конференции Black Hat Asia профессор Северо-восточного университета в Бостоне Уильям Робертсон (William Robertson) и доктор Бостонского университета Ахмед Буйукайхан (Ahmet Buyukkayhan) продемонстрировали, как злоумышленники могут проэксплуатировать известные уязвимости в популярных дополнениях для Firefox и внедрить в них вредоносный код. К примеру, киберпреступники могут создать копию легитимного расширения, добавив в него вредоносный функционал.
Эксперты составили список дополнений, уязвимых к 255 эксплоитам. В него вошли NoScript (2,5 млн. активных пользователей), Video DownloadHelper (6,5 млн. пользователей), GreaseMonkey (1,5 млн. пользователей) и пр. Примечательно, расширение Adblock Plus (22 млн. активных пользователей) оказалось не подвержено данным уязвимостям. Для идентификации уязвимых расширений специалисты использовали разработанный ими фреймворк Crossfire.
В качестве PoC-демонстрации Робертсон и Буйукайхан загрузили вредоносное расширение ValidateThisWebsite в официальный каталог дополнений Firefox, содержащее 50 строк необфусцированного кода. Отметим, расширение успешно прошло все проверки Mozilla. Эксперты уже передали результаты своего исследования сотрудникам Mozilla. На данный момент черный список компании включает 161 расширение, однако с появлением нового вектора атаки их число может стать гораздо больше. (Mozilla/NovostIT)