افزونه‌های فایرفاکس، مخفی کنندگان بدافزار ها

به گزارش واحد متخصصین سایبربان؛ افزونه‌های مورد اعتماد فایرفاکس با میلیون‌ها کاربر فعال برای حملاتی که می‌توانند به صورت بی‌‌سر و صدا دستگاه‌ها را به خطر اندازد و آزمون‌های امنیت خودکار و دستی موزیلا را دور بزنند، دری را باز می‌کنند.
این افزونه‌ها از نقاط ضعف در ساختار فایرفاکس بهره‌برداری کرده به طوری که فعالیت مخرب آن‌ها می‌تواند پشت عملکرد مشروع دیگر افزونه‌ها پنهان بماند.

محققان به این نتیجه رسیده اند که افزونه‌ها با دسترسی‌ها بالا اجرا می‌شوند و به اطلاعات کاربر دسترسی دارند، بنابراین یک افزونه مخرب می‌تواند داده‌های شخصی مرورگر، گذرواژه‌ها و منابع حساس سامانه را به سرقت ببرد.
در مجموع ۲۵۵ آسیب‌پذیری در افزونه‌های مختلف کشف شده است که شامل افزونه NoScript با 2.5 میلیون کاربر، DownloadHelper  با 6.5 میلیون کاربر و GreaseMonkey  با 1.5 میلیون کاربر هستند. همچنین در این میان افزونه  Adblock Plus با 22 میلیون کاربر هنوز آلوده نشده است.
افزونه‌هایی که در عمل حاوی این آسیب‌پذیری‌‌ها هستند، به مهاجم اجازه اجرای کد، ثبت وقایع و دسترسی به شبکه را  در سامانه قربانی را میدهند.، و در کنار آن فرصت‌های دیگری را نیز برای مهاجمان مهیا می‌کنند.

دکتر« Ahmet Buyukkayhan» از دانشگاه بوستون و پروفسور ویلیام رابرتسون « William Robertson» از دانشگاه « Northeastern» این حملات را در کنفرانس بلک ‌هت 2016 آسیا که در سنگاپور برگزار شد ارائه کردند،این محققان قانون  «Crossfire» را ارائه دادند که از آن برای شناسایی افزونه‌های  آسیب‌پذیر استفاده میکنند.
در این اجلاس دکتر رابرتسون گفت ما اعتماد زیادی به سازندگان مرورگر کرده‌ایم، اما اگر شما درباره این موضوع فکر کنید واقعاً تعجب میکنید، و به این نتیجه میرسید که از افزونه ها به عنوان یک درب پشتی در فعالیت های بالقوه سازندگان مورد استفاده قرار میگیرد تا کدهای خود را در بافتی با دسترسی بالا اجرا کنند.
وی افزود در واقع ما نباید به توسعه‌دهندگان افزونه‌ها اعتماد کنیم. این دو محقق موفق به بارگذاری یک نرم افزار مخرب در افزونه فایر فاکس شدند که با نام «ValidateThisWebsite» شامل پنجاه خط کد بود که هیچ نکته مبهمی نداشت.
بر اساس گزارش محققان هر چه که افزونه‌ها آسیب‌پذیرتر باشند، کار برای گسترش آلودگی بیشتر است.
این کار اثبات مفهومی که با Crossfire انجام شد، قالبی دارد که توسعه بهره‌برداری از افزونه را بسیار سریع‌تر انجام می‌دهد.
این چارچوب به وسیله موزیلا به عنوان بخشی از پژوهش‌های خارجی پشتیبانی می‌شود که در پایان آن کارشناسان امنیتی فایرفاکس هوشیاری بیشتری را در بررسی افزونه‌ها انجام می‌دهند.

موزیلا در حال حاضر فهرستی از افزونه‌های مخرب را ارائه کرده که  161 مورد آسیب‌پذیری در فهرست سیاه خود داده است، با احتساب افزونه‌های آسیب‌پذیری که در تحقیقات اخیر اضافه شده است، این تعداد بسیار بیش‌تر است.
بر اساس گزارش یکی از کارمندان توسعه زیر ساخت های فایر فاکس افزونه جدید  WebExtensions   آلوده نیست.
وی افزود روشی که امروزه افزونه‌ها را در فایرفاکس استقرار میدهند، اجازه ایجاد این سناریو را می‌دهد و در کنفرانس بلک‌هت ارائه شده است. روش ارائه شده بر افزونه‌هایی تکیه دارد که برای نصب آسیب‌پذیر هستند و سپس برای افزونه‌هایی که از این آسیب‌پذیری در حین نصب بهره‌برداری می‌کنند.
ما در حال تکامل هسته بستر افزونه ها به سمت ساخت امنیت بیشتر هستیم. امروزه افزونه های جدیدی با استفاده از چارچوب WebExtensions در فایر فاکس موجود است که ذاتا دارای امنیت بیشتری نسبت به افزونه های سنتی است . همچنین افزونه نام برده شده در برابر حملات ارائه شده که در کنفرانس بلک هت مطرح شد آسیب پذیر نیست.