Populære Firefox-sikkerhetsutvidelser er åpne for gjenbruk av angrep

På Blackhat Asia-konferansen i begynnelsen av april 2016 avslørte forskere fra Northeastern University og Boston University ni av de ti Firefox-utvidelsene er sårbare for gjenbruk av angrep. Dessverre inkluderer dette noen av de mest populære sikkerhetsutvidelsene som er tilgjengelige i tilleggskatalogen. I denne artikkelen diskuterer vi hvordan disse angrepene kan skje, beskriver de kompromitterte sikkerhetsutvidelsene og anbefaler noen forholdsregler for å redusere eksponeringsrisikoen..

Hva er et gjenbruksangrep?

I denne sammenheng oppstår et gjenbruksangrep når en ondsinnet utvidelse utnytter funksjonene til en legitim (men likevel sårbar) utvidelse for å utføre et angrep på en brukers nettleser. Forskningsgruppen utviklet en statisk analysator - kalt CrossFire - for å identifisere sårbarheter for gjenbruk i Firefox-tillegg for både Windows- og Mac-plattformene, inkludert:

  • Nettverkstilgang
  • File input / output
  • Utførelse av kode
  • Tilgang til utklippstavle
  • Tilgang til informasjonskapsler
  • Bokmerker tilgang
  • Passordlager tilgang
  • Preferanse tilgang
  • Registrering av eventlytter

Gjennom disse tilleggsfeilene er det mulig for en angriper å kontrollere nettleseren din og utføre ondsinnede handlinger, for eksempel:

  • Åpne og vise innholdet i en URL i en ny nettleserfane.
  • sende en HTTP-forespørsel til en angriperspesifisert URL.
  • laste ned en liste over filer uten å aktivere Firefox nedlastingsprompt.
  • utføre binære filer for å endre innhold på nettstedet.

Hvordan ville et gjenbruksangrep oppstå?

For at et slikt angrep skal skje, må en bruker laste ned utvidelsen med sårbarheten for gjenbruk OG en skadelig utvidelse. Den skjulte koden i det angripende tilleggsprogrammet vil da kjøres uten brukerens viten.

"Angripere kan skrive en utvidelse som ser uskyldig ut for alle som gjennomgår plug-in-en," sa forsker William Robertson mens han presenterte på konferansen. "Men når den først ble lagt til Firefox-nettleseren, kunne den godartede ser-utvidelsen lett utnytte en andre Firefox-utvidelse for å plante skadelig programvare på brukerens datamaskin."

Angrepene er gjort mulig fordi gamle Firefox-rammer ikke isolerer tilleggsfunksjoner. Derfor kan ondsinnet tilleggskode bruke API-anrop fra legitime tillegg for å utføre angrep mens de ser ut til å være ufarlige. De kan også samle sensitive data som finnes i andre tilleggsprogrammer fordi tilleggsprogrammer deler Firefoxs Cross-Platform Communication Object Model (XPCOM).

Gjenbruk angrepssårbarheter som finnes i Firefox Security Extensions

Kreditt: Buyukkayhan et al.

Er gjenbruksangrep vanlig?

Nei. Forskerne fortalte vpnMentor at mange andre nyhetssteder har blåst problemet ut av proporsjoner.

"De fleste artikler på nettet vi leste om CrossFire blåste problemet ut av proporsjoner, og fikk det til å se ut som alle Firefox-utvidelser er onde og bør umiddelbart fjernes fra datamaskinen. Det ville selvfølgelig ikke være en fornuftig reaksjon på problemet.

Men med så mange av de populære utvidelsene som har sårbarheter, åpner det for at slike angrep kan skje.

Sikkerhetsproblemer med gjenbruk av angrep Funnet i Firefox-sikkerhetsutvidelser

Kreditt: Buyukkayhan et al.

Faktisk var et hovedpoeng i forskningen å bevise manglene ved dagens tilleggsveteringspraksis. For å bevise poenget lastet teamet opp en “ondsinnet” utvidelse og fikk den gjennom Firefox høyeste gjennomgangsnivå. Dette tillegget, som de kalte ValidateThisWebsite, annonserte en evne til å analysere nettsteder for å finne ut om de oppfylte gjeldende kodestandarder. Bak fasaden, derimot, ble utvidelsen faktisk sammenkoblet med en legitim utvidelse for å åpne et nettsted etter eget valg i en ny fane. Det var ufarlig, men det viste hvordan et angrep kunne oppstå.

Er Jetpack-tilleggsmottakelige?

Ja. Mens arbeidet hovedsakelig fokuserte på sårbarhetene i eldre Firefox-utvidelser på grunn av deres popularitet og utbredelse, sa teamet at utvidelser som er bygget gjennom den nåværende SDpack-plattformen for tilleggsutstyr ikke er immun mot angrep på gjenbruk.

Hvilke sikkerhetsutvidelser er sårbare for gjenbruk av angrep?

I papiret nevnes to fremtredende sikkerhetstillegg:

  • NoScript:Gjenbruk angrepssårbarheter som finnes i Firefox Security Extensions
    Denne utvidelsen lar brukere velge nettsteder som kan kjøre JavaScript, Java og andre plugins. Det har for tiden mer enn 2 millioner brukere. Oppdatering: NoScript-forfatteren har nylig svart på CrossFire-artikkelen og kalt den "billig forskning."
  • Sikkerhetsproblemer med gjenbruk av angrep Funnet i Firefox-sikkerhetsutvidelserNett av tillit:
    Et kjent verdensomspennende omdømme- og klassifiseringstjeneste for nettsteder som hjelper brukere å ta informerte beslutninger om å stole på et nettsted eller ikke når de søker, handler eller surfer på nettet. Den har mer enn 900 000 brukere.

I tillegg til disse to sikkerhetsutvidelsene, sa forskerne at KeeFox viste Sikkerhetsproblemer med gjenbruk av angrep Funnet i Firefox-sikkerhetsutvidelsersårbarheter under testene. Denne utvidelsen kobler Firefox til KeePass Password Safe, den mest populære open source (og gratis) passordbehandleren. Bare tilgjengelig for PC-brukere, den er lastet ned mer enn 59 000 ganger.

Merk: forskerne testet 323 tilfeldige utvidelser sammen med de som er på topp 10-listen. Denne tilfeldige prøven kan inneholde flere sikkerhetsutvidelser enn de som er oppført her.

Har noen sikkerhetsutvidelser bestått sårbarhetstesten?

Ja. Adblock Plus kom gjennom uten sårbarheter om gjenbruk. Dette er en positiv utvikling for 20+ millioner brukere som har lastet ned denne utvidelsen.

Hva er de beste måtene å forhindre gjenbruk av angrep på?

Forskerne bemerket at gjenbruksangrep ikke kan skje med mindre et ondsinnet tillegg blir lastet ned og parret med minst ett sårbart tillegg. I tillegg er det mindre sannsynlig at utvidelser med god programmering og nylige oppdateringer er sårbare. Derfor anbefaler vpnMentor:

  • Bruke utvidelser med en aktiv oppdateringspost
  • Last ned bare utvidelser fra kjente kilder
  • Hold nettleseren din oppdatert
  • Administrere utvidelsesbiblioteket og fjerne dem du ikke bruker lenger

I følge forskerne er nøkkelen for kortsiktig beskyttelse årvåkenhet. Ved å informere brukere, utviklere og Mozilla-bokstaver om dette problemet, kan alle være på utkikk etter ondsinnede utvidelser til svarteliste..

"Naturligvis har vi ikke til hensikt at vårt arbeid skal tolkes som et angrep på innsatsen til Firefox sin matrikk av forlengelsesbokstaver, som har en viktig og vanskelig jobb ..." skrev de i avisen. "Likevel demonstrerer eksperimentene våre at nåværende [tilleggsveteringsverktøy] ikke er tilstrekkelig til å håndtere denne angrepsklassen, og teknikkene vi foreslår kan tjene som et første skritt mot å styrke vetting-prosessen for å oppdage sårbarheter med utvidelsesgjenbruk."

Teamet flytter også CrossFire-prosjektet til GitHub. Når den er tilgjengelig, kan hvem som helst sende inn en utvidelse som en inngang og se sårbarhetene i koden gjenbruk i den. Utviklere vil da kunne utgi oppdateringer for å fikse feilene.

Er en Universal Fix blir utviklet?

Ja. Forskningen ga et raskt svar fra Mozilla: “Fordi risikoerSikkerhetsproblemer med gjenbruk av angrep Funnet i Firefox-sikkerhetsutvidelser som denne eksisterer, utvikler vi både kjerneproduktet og utvidelsesplattformen vår for å bygge større sikkerhet. "

Selskapet bemerker at tilleggsprogrammer skrevet gjennom den nye WebExtensions-plattformen (tilgjengelig i beta med Firefox 46) forhindrer problemet. Når Mozillas Elektrolyseprosjekt lanseres senere i år, vil utvidelser bli isolert via sandkasse. Dette skiftet vil forhindre at all ondsinnet utvidelse kommuniserer med en sårbar.

Konklusjon

Siden sårbarheter strekker seg til nesten alle de mest populære tilleggene, kan ikke trusselen om gjenbruksangrep tas lett på. Det er imidlertid viktig å understreke at årvåken tilleggsinstallasjon kombinert med nærmere undersøkelse av vetters og utviklere bør forhindre ondsinnede tillegg fra å komme inn i Firefox-biblioteket. Så sørg for å laste ned pålitelige sikkerhetsutvidelser som er oppdatert fra nå av, eller i det minste til Elektrolyseprosjektet er implementert.

Rangeleverandør Vår poengsum Brukervurdering
Redaktørens valg 5.0 / 5
Les anmeldelse
Finne ut mer Kom i gang >> Besøk nettstedet
2 4.9 / 5
Les anmeldelse
Finne ut mer Kom i gang >> Besøk nettstedet
3 4.8 / 5
Les anmeldelse
Finne ut mer Kom i gang >> Besøk nettstedet
4 4.8 / 5
Les anmeldelse
Finne ut mer Kom i gang >> Besøk nettstedet
5 4.7 / 5
Les anmeldelse
Finne ut mer Kom i gang >> Besøk nettstedet
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me