在新加坡舉辦的亞洲黑帽安全會議上,美國 Ahmet Buyukkayhan、William Robertson 這兩位資安專家提出警告,表示 Firefox 的附加元件很容易被其他駭客拿來利用,變成攻擊使用者的工具,兩名專家並且示範了他們怎麼利用自製的惡意附加元件,感染到其他「好的」附加元件上頭。
這兩名安全專家,在過去兩年的時間裡研究並建立了名為「extension reuse」的病毒攻擊方式。功能是可以去自動感染其他的附加元件。而且隨著他們取得了其他附加元件的控制權之後,就可以不斷的提高自己在 Fioirefox 裡的權限,擁有更多的能力。
他們表示,「extension reuse」這種方式要入侵 Firefox 並且最終取得權限的條件限制其實相當多,首先,要攻擊的這台電腦中的 Firefox 中,首先使用這必須要先安裝一個已經被感染的「extension reuse」,其次,是 Firefox 裡頭還要安裝其他可以被攻擊的附加元件。
不過,雖然不是所有的附加元件都能夠被攻擊,但是他們找到至少目前 Firefox 上面的熱門附加元件中,就有十多種可以輕易被攻擊,其中包括有 GreaseMonkey add-on(超過 150 萬安裝人數)、Video DownloadHelper(650 萬安裝人數)、NoScript(250 萬安裝人數)。
偽病毒上架卻無人發現
為了驗證他們的發現,他們做了一個名叫「ValidateThisWebsite」的附加元件上傳到 Firefox 的附加元件商店並且接受審核,他們上傳的這個附加元件雖然會感染其他元件,不過從行為上來說則是並沒有任何的危害行為,因此在機器審核上就通過了。
而之後,他們更大的的要求了人工審核的「fully reviewed」,這是更高階的對附加元件的審核方式,這個偽病毒程式只有 50 條程式碼,而且程式碼看起來簡潔易懂,而 Mozilla 的審核人員幾乎沒有任何異議,就通過了這個附加元件的審核。
他們表示,雖然很多人都對瀏覽器內建的這種商店機制感到很安心,覺得經過審核後的元件應該就很安全。不過事實上這也成了一種保護色,讓一些有潛在風險的附加元件得以大方的進入你的瀏覽器。
他們在會後也表示已經將相關資料提供給 Mozilla 的人員,幫助他們提高 Firefox 的安全性。Firefox 也發表聲明表示將會針對這份研究中揭露出來的問題,去解決相關的漏洞。
- CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities
- Firefox Extensions May Be the Harbingers of Malicious Attacks
- Top Firefox extensions can hide silent malware using easy pre-fab tool
(本文由 T客邦 授權轉載;首圖來源:達志影像)