افزونه‌های فایرفاکس می‌توانند بدافزار را مخفی نگه دارند

اصلاحیه؟ هیچ اصلاحیه‌ای در کار نیست، فقط همه افزونه‌ها را از بین ببرید!
کنفرانس بلک‌هت آسیا؛ افزونه‌های محبوب فایرفاکس با میلیون‌ها کاربر فعال برای حمله‌هایی که می‌توانند بی‌‌سر و صدا دستگاه‌ها را به خطر اندازد و آزمون‌های امنیت خودکار و دستی موزیلا را دور بزنند، دری را باز می‌کنند.
این افزونه‌ها از نقاط ضعف در ساختار افزونه‌های فایرفاکس بهره‌برداری می‌کنند به طوری که فعالیت مخرب آن‌ها می‌تواند در پشت عملکرد مشروع دیگر افزونه‌ها پنهان بماند.
برای مثال،‌ مهاجمان می‌توانند افزونه محبوب ولی آسیب‌پذیر را رونوشت کنند تا در حملات از آن استفاده کرده و قابلیت‌های مشکل آفرین خود را با آن بنویسند.
محققان توضیح داده‌اند که افزونه‌ها با دسترسی‌ها بالا اجرا می‌شوند و به اطلاعات دسترسی دارند، بنابراین یک افزونه مخرب می‌تواند داده‌های شخصی مرورگر، گذرواژه‌ها و منابع حساس سامانه را سرقت کنند.
در مجموع ۲۵۵ آسیب‌پذیری در افزونه‌های مختلف کشف شده است که شامل افزونه NoScript با ۲٫۵ میلیون کاربر، DownloadHelper با ۶٫۵ میلیون کاربر و GreaseMonkey با ۱٫۵ میلیون کاربر می‌شوند. افزونه Adblock Plus با ۲۲ میلیون کاربر آلوده نشده است.
افزونه‌هایی که در عمل حاوی این آسیب‌پذیری‌‌ها هستند، به مهاجم این امکان را می‌دهند که در سامانه‌ی قربانی کد اجرا کرده، وقایع را ثبت کنند و به شبکه دسترسی پیدا کنند و در کنار آن فرصت‌های دیگری را نیز برای مهاجمان مهیا می‌کنند.
دکتر Ahmet Buyukkayhan از دانشگاه بوستون و پروفسور ویلیام رابرتسون از دانشگاه شمال شرقی این حملات را در کنفرانس بلک‌هت آسیا در سنگاپور ارائه کرده‌اند، آن‌ها چارچوبی را انتشار داده‌اند که به نام «Crossfire» خوانده شده و از آن برای شناسایی افزونه‌ها که آسیب‌پذیر هستند، استفاده کرده‌اند.
رابرتسون می‌گوید: «ما اعتماد زیادی به سازندگان مرورگر کرده‌ایم، اما اگر شما درباره این موضوع فکر کنید، واقعاً متعجب می‌شوید، چارچوب افزونه‌ها در واقع یک در پشتی برای فعالیت‌های بالقوه نامطمئن سازندگان ثالث است، تا کدهای خود را در بافتی با دسترسی بالا اجرا کنند.»
در واقع ما نباید به توسعه‌دهندگان افزونه‌ها اعتماد کنیم. ترکیبی از تحلیل‌های خودکار و بررسی‌های دستی و امضای افزونه- یک مدل بررسی که اساس امنیت همه افزونه‌های فایرفاکس است- صورت می‌گیرد، اگر چیزی اشتباه بود، بنابراین مشکل دیده می‌شود.»
این دو نفر توانستند تا یک نرم‌افزار مخرب را بارگذاری کنند، و در نهایت این افزونه بی‌ضرر برای اثبات مفهومی را در فروشگاه افزونه فایرفاکس قرار دادند؛ حتی از بررسی شدیدتر تحلیل‌های سامانه «بررسی کامل» فایرفاکس نیز گذر دادند. این افزونه با نام «ValidateThisWebsite» شامل پنجاه خط کد بود و هیچ نکته مبهمی نداشت.
این پژوهش‌گر می‌گوید: «هر چه که افزونه‌ها آسیب‌پذیرتر باشند، کار برای گسترش آلودگی بیشتر است. بررسی کامل بالاترین سطحی امنیتی است که موزیلا دارد.»
این کار اثبات مفهومی که با Crossfire انجام شد، قالبی دارد که توسعه بهره‌برداری از افزونه را بسیار سریع‌تر انجام می‌دهد.
این چارچوب به وسیله موزیلا به عنوان بخشی از پژوهش‌های بیرونی پشتیبانی می‌شود که در پایان آن کارشناسان امنیتی فایرفاکس هوشیاری بیشتری را در بررسی افزونه‌ها انجام می‌دهند.
افشای این بردارهای حمله، در محصولی که حاصل تحقیقات دوساله بوده است، پنج ماه زودتر از مدل افزونه‌های امن‌تر گوگل کروم صورت می‌گیرد. توسعه‌دهندگان افزونه‌ها هنوز ۱۸ ماه از آگوست فرصت دارند تا به مدل منفرد و امنِ WebExtensions مهاجرت کنند، قبل از اینکه این نرم‌افزارهای آسیب‌پذیری قدیمی از هم بپاشد.
موزیلا در حال حاضر فهرستی از افزونه‌های مخرب را ارائه کرده ۱۶۱ مورد آسیب‌پذیری در فهرست سیاه خود دارند، با احتساب افزونه‌های آسیب‌پذیری که در پژوهش اخیر اضافه شده است، این تعداد بسیار بیش‌تر است.
یکی از کارمندان توسعه‌ی فایرفاکس نیک نگوین می‌گوید که WebExtensions جدید آلوده نیست.
نگوین می‌گوید: «روشی که امروزه افزونه‌ها در فایرفاکس استقرار می‌یابند، اجازه ایجاد این سناریو را می‌دهد و در کنفرانس بلک‌هت ارائه شده است. این روش شرح داده شده، بر افزونه‌هایی تکیه دارد که برای نصب آسیب‌پذیر هستند و سپس برای افزونه‌هایی که از این آسیب‌پذیری در حین نصب بهره‌برداری می‌کنند.
چون خطر چنین کاری امکان دارد، ما در حال تکامل هسته محصول و بستر افزونه‌ها به سمت ساخت امنیت بیشتر هستیم. مجموعه جدید افزونه‌های مرورگر که چارچوب WebExtensions ایجاد می‌شوند، و امروزه در فایرفاکس موجود هستند، ذاتاً دارای امنیت بیشتری از افزونه‌های سنتی هستند و در برابر حمله‌های خاصی که در کنفرانس بلک‌هت در آسیا مطرح شده، آسیب‌پذیر نیستند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.