افزونههای فایرفاکس میتوانند بدافزار را مخفی نگه دارند
- توضیحات
- منتشر شده در 18 فروردين 1395
- بازدید: 304
اصلاحیه؟ هیچ اصلاحیهای در کار نیست، فقط همه افزونهها را از بین ببرید!
کنفرانس بلکهت آسیا؛ افزونههای محبوب فایرفاکس با میلیونها کاربر فعال برای حملههایی که میتوانند بیسر و صدا دستگاهها را به خطر اندازد و آزمونهای امنیت خودکار و دستی موزیلا را دور بزنند، دری را باز میکنند.
این افزونهها از نقاط ضعف در ساختار افزونههای فایرفاکس بهرهبرداری میکنند به طوری که فعالیت مخرب آنها میتواند در پشت عملکرد مشروع دیگر افزونهها پنهان بماند.
برای مثال، مهاجمان میتوانند افزونه محبوب ولی آسیبپذیر را رونوشت کنند تا در حملات از آن استفاده کرده و قابلیتهای مشکل آفرین خود را با آن بنویسند.
محققان توضیح دادهاند که افزونهها با دسترسیها بالا اجرا میشوند و به اطلاعات دسترسی دارند، بنابراین یک افزونه مخرب میتواند دادههای شخصی مرورگر، گذرواژهها و منابع حساس سامانه را سرقت کنند.
در مجموع ۲۵۵ آسیبپذیری در افزونههای مختلف کشف شده است که شامل افزونه No Script با ۲٫۵ میلیون کاربر، Download Helper با ۶٫۵ میلیون کاربر و Grease Monkey با ۱٫۵ میلیون کاربر میشوند. افزونه Adblock Plus با ۲۲میلیون کاربر آلوده نشده است.
افزونههایی که در عمل حاوی این آسیبپذیریها هستند، به مهاجم این امکان را میدهند که در سامانهی قربانی کد اجرا کرده، وقایع را ثبت کنند و به شبکه دسترسی پیدا کنند و در کنار آن فرصتهای دیگری را نیز برای مهاجمان مهیا میکنند.
دکتر Ahmet Buyukkayhan از دانشگاه بوستون و پروفسور ویلیام رابرتسون از دانشگاه شمال شرقی این حملات را در کنفرانس بلکهت آسیا در سنگاپور ارائه کردهاند، آنها چارچوبی را انتشار دادهاند که به نام «Crossfire» خوانده شده و از آن برای شناسایی افزونهها که آسیبپذیر هستند، استفاده کردهاند.
رابرتسون میگوید: «ما اعتماد زیادی به سازندگان مرورگر کردهایم، اما اگر شما درباره این موضوع فکر کنید، واقعاً متعجب میشوید، چارچوب افزونهها در واقع یک در پشتی برای فعالیتهای بالقوه نامطمئن سازندگان ثالث است، تا کدهای خود را در بافتی با دسترسی بالا اجرا کنند.»
در واقع ما نباید به توسعهدهندگان افزونهها اعتماد کنیم. ترکیبی از تحلیلهای خودکار و بررسیهای دستی و امضای افزونه- یک مدل بررسی که اساس امنیت همه افزونههای فایرفاکس است- صورت میگیرد، اگر چیزی اشتباه بود، بنابراین مشکل دیده میشود.»
این دو نفر توانستند تا یک نرمافزار مخرب را بارگذاری کنند، و در نهایت این افزونه بیضرر برای اثبات مفهومی را در فروشگاه افزونه فایرفاکس قرار دادند؛ حتی از بررسی شدیدتر تحلیلهای سامانه »بررسی کامل» فایرفاکس نیز گذر دادند. این افزونه با نام «ValidateThisWebsite» شامل پنجاه خط کد بود و هیچ نکته مبهمی نداشت.
این پژوهشگر میگوید: «هر چه که افزونهها آسیبپذیرتر باشند، کار برای گسترش آلودگی بیشتر است. بررسی کامل بالاترین سطحی امنیتی است که موزیلا دارد. «
این کار اثبات مفهومی که با Crossfire انجام شد، قالبی دارد که توسعه بهرهبرداری از افزونه را بسیار سریعتر انجام میدهد.
این چارچوب به وسیله موزیلا به عنوان بخشی از پژوهشهای بیرونی پشتیبانی میشود که در پایان آن کارشناسان امنیتی فایرفاکس هوشیاری بیشتری را در بررسی افزونهها انجام میدهند.
افشای این بردارهای حمله، در محصولی که حاصل تحقیقات دوساله بوده است، پنج ماه زودتر از مدل افزونههای امنتر گوگل کروم صورت میگیرد. توسعهدهندگان افزونهها هنوز ۱۸ ماه از آگوست فرصت دارند تا به مدل منفرد و امنِ WebExtensions مهاجرت کنند، قبل از اینکه این نرمافزارهای آسیبپذیری قدیمی از هم بپاشد.
موزیلا در حال حاضر فهرستی از افزونههای مخرب را ارائه کرده ۱۶۱ مورد آسیبپذیری در فهرست سیاه خود دارند، با احتساب افزونههای آسیبپذیری که در پژوهش اخیر اضافه شده است، این تعداد بسیار بیشتر است.
یکی از کارمندان توسعهی فایرفاکس نیک نگوین میگوید که WebExtensions جدید آلوده نیست.
نگوین میگوید: «روشی که امروزه افزونهها در فایرفاکس استقرار مییابند، اجازه ایجاد این سناریو را میدهد و در کنفرانس بلکهت ارائه شده است. این روش شرح داده شده، بر افزونههایی تکیه دارد که برای نصب آسیبپذیر هستند و سپس برای افزونههایی که از این آسیبپذیری در حین نصب بهرهبرداری میکنند.
چون خطر چنین کاری امکان دارد، ما در حال تکامل هسته محصول و بستر افزونهها به سمت ساخت امنیت بیشتر هستیم. مجموعه جدید افزونههای مرورگر که چارچوب WebExtensions ایجاد میشوند، و امروزه در فایرفاکس موجود هستند، ذاتاً دارای امنیت بیشتری از افزونههای سنتی هستند و در برابر حملههای خاصی که در کنفرانس بلکهت در آسیا مطرح شده، آسیبپذیر نیستند.»