Ang Mga Sikat na Extension ng Seguridad sa Firefox ay Buksan upang Gumamit ng Pag-atake


Sa Blackhat Asia Conference noong unang bahagi ng Abril 2016, ang mga mananaliksik mula sa Northeheast University at Boston University ay nagsiwalat ng siyam sa nangungunang sampung mga extension ng Firefox ay mahina laban sa pag-atake. Sa kasamaang palad, kasama dito ang ilan sa mga pinakatanyag na mga extension ng seguridad na magagamit sa Katalogo ng Add-on. Sa artikulong ito, tinatalakay namin kung paano maaaring mangyari ang mga pag-atake na ito, ilarawan ang nakompromiso na mga extension ng seguridad, at inirerekumenda ang ilang mga hakbang sa pag-iingat upang mabawasan ang iyong panganib sa pagkakalantad..

Ano ang isang Muling Pag-atake?

Sa kontekstong ito, ang isang pag-atake muli ay nangyayari kapag ang isang nakakahamak na extension ay nagsasamantala sa mga pag-andar ng isang lehitimong – subalit mahina – extension upang magsagawa ng isang pag-atake sa browser ng gumagamit. Ang pangkat ng pananaliksik ay binuo ng isang static na analyzer – na nagngangalang CrossFire – upang matukoy ang muling paggamit ng mga kahinaan sa mga Firefox na add-on para sa parehong mga platform ng Windows at Mac, kabilang ang:

  • Pag-access sa network
  • Pag-input / output ng file
  • Pagpapatupad ng code
  • Pag-access sa clipboard
  • Pag-access sa tindahan ng cookie
  • Pag-access sa mga bookmark
  • Pag-access sa tindahan ng password
  • Pag-access sa kagustuhan
  • Pagrehistro ng nakikinig sa Kaganapan

Sa pamamagitan ng mga add-on na pagkakamali na ito, posible para sa isang magsasalakay upang makontrol ang iyong browser at magsagawa ng mga nakakahamak na aksyon, tulad ng:

  • pagbubukas at pagpapakita ng mga nilalaman ng isang URL sa isang bagong tab na browser.
  • pagpapadala ng isang kahilingan sa HTTP sa isang URL na tinukoy ng pag-atake.
  • pag-download ng isang listahan ng mga file nang hindi inaaktibo ang pag-download ng Firefox.
  • pagpapatupad ng mga binary file upang baguhin ang nilalaman ng website.

Paano Magagamit ang Isang Pag-atake muli?

Upang mangyari ang gayong pag-atake, dapat i-download ng isang gumagamit ang extension kasama ang muling paggamit ng kahinaan at isang nakakahamak na extension. Ang nakatagong code sa loob ng pag-atake ng add-on ay papatayin pagkatapos nang walang kaalaman ng gumagamit.

“Ang mga magsasalakay ay maaaring magsulat ng isang extension na mukhang walang kasalanan sa sinumang sinusuri ang plug-in,” sinabi ng mananaliksik na si William Robertson habang nagtatanghal sa kumperensya. “Ngunit sa sandaling naidagdag sa browser ng Firefox, ang benign na naghahanap ng extension ay maaaring madaling samantalahin ng isang pangalawang extension ng Firefox upang magtanim ng malware sa computer ng gumagamit.”

Posible ang mga pag-atake dahil ang mga legacy ng Firefox ay hindi naghihiwalay sa mga function na add-on. Samakatuwid, ang nakakahamak na add-on code ay maaaring gumamit ng mga tawag sa API mula sa mga lehitimong mga add-on upang isagawa ang mga pag-atake habang lumalabas na hindi nakakapinsala. Maaari rin silang mangalap ng sensitibong data na nilalaman sa iba pang mga add-on dahil ang mga add-on ay nagbabahagi ng Cross-Platform Communication Object Model (XPCOM) ng mga add-on..

Gumamit muli ng mga kahinaan sa pag-atake na matatagpuan sa Mga Extension ng Firefox Security

Credit: Buyukkayhan et al.

Pangkalahatang Pag-atake ng Karaniwan?

Hindi. Sinabi ng mga mananaliksik sa vpnMentor na maraming iba pang mga news outlet ang pumutok sa isyu na hindi proporsyon.

“Karamihan sa mga online na artikulo na nabasa namin tungkol sa CrossFire ay naghihip ng problema sa proporsyon, at ginawa itong magmukhang lahat ng mga extension ng Firefox ay kasamaan at dapat agad na tinanggal mula sa computer. Siyempre, hindi iyon magiging isang makatotohanang reaksyon sa isyu na malapit. “

Ngunit sa napakaraming mga tanyag na extension na nagtataglay ng mga kahinaan, binubuksan nito ang pintuan para mangyari ang gayong pag-atake.

Gumamit muli ng Mga Pag-atake ng Vulnerability na Natagpuan sa Mga Extension ng Firefox Security

Credit: Buyukkayhan et al.

Sa katunayan, ang isang pangunahing punto ng pananaliksik ay upang patunayan ang mga kakulangan ng kasalukuyang mga kasanayan sa add-on vetting. Upang mapatunayan ang punto, nag-upload ang koponan ng isang “nakakahamak” na extension at nakuha ito sa pinakamataas na antas ng pagsusuri ng Firefox. Ang add-on na ito, na tinawag nilang ValidateThisWebsite, nag-anunsyo ng isang kakayahang pag-aralan ang mga website upang matukoy kung nakamit nila ang kasalukuyang mga pamantayan sa code. Sa likod ng façade, gayunpaman, ang extension ay talagang ipinares sa isang lehitimong extension upang buksan ang isang website na kanilang pinili sa isang bagong tab. Hindi ito nakakapinsala, ngunit ipinakita kung paano maaaring maganap ang isang pag-atake.

Ang mga Jetpack Add-ons ay madaling kapitan?

Oo. Habang ang trabaho ay pangunahing nakatuon sa mga kahinaan sa mga extension ng legacy na Firefox dahil sa kanilang pagiging popular at laganap, sinabi ng koponan na ang mga extension na binuo sa pamamagitan ng kasalukuyang Jetpack / Add-on SDK platform ay hindi kaligtasan sa mga pag-atake ng extension-muli.

Ano ang Mga Extension ng Seguridad na Mapapag-ugnay sa Paggamit muli ng mga Pag-atake?

Binanggit ng papel ang dalawang kilalang mga add-on ng seguridad:

  • Nokrip:Gumamit muli ng mga kahinaan sa pag-atake na matatagpuan sa Mga Extension ng Firefox Security
    Pinapayagan ng extension na ito ang mga gumagamit na pumili ng mga site na maaaring magpatakbo ng JavaScript, Java, at iba pang mga plugin. Kasalukuyan itong mayroong higit sa 2 milyong mga gumagamit. Update: Ang may-akda ni Nokrip ay kamakailan lamang ay tumugon sa artikulong CrossFire, na tinatawag itong “murang pananaliksik.”
  • Gumamit muli ng Mga Pag-atake ng Vulnerability na Natagpuan sa Mga Extension ng Firefox SecurityWeb of Trust:
    Ang isang kilalang pandaigdigang reputasyon sa website at serbisyo ng rating na tumutulong sa mga gumagamit na gumawa ng mga kaalamang desisyon tungkol sa kung magtiwala sa isang website o hindi kapag naghahanap, namimili, o nag-surf online. Mayroon itong higit sa 900,000 mga gumagamit.

Bilang karagdagan sa mga dalawang extension ng seguridad, sinabi ng mga mananaliksik na ipinakita ni KeeFox Gumamit muli ng Mga Pag-atake ng Vulnerability na Natagpuan sa Mga Extension ng Firefox Securitykahinaan sa panahon ng mga pagsubok. Ang extension na ito ay nag-uugnay sa Firefox sa Ligtas na KeePass Password, ang pinakasikat na bukas na mapagkukunan (at libre) na tagapamahala ng password. Magagamit lamang sa mga gumagamit ng PC, na-download ito ng higit sa 59,000 beses.

Tandaan: sinubukan ng mga mananaliksik ang 323 random na mga extension kasama ang mga nasa top-10 list. Ang random na sample na ito ay maaaring magsama ng higit pang mga extension ng seguridad kaysa sa mga nakalista dito.

Naipasa ba ang anumang Mga Extension ng Seguridad sa Vulnerability Test?

Oo. Dumating ang Adblock Plus nang walang muling paggamit ng mga kahinaan. Ito ay isang positibong pag-unlad para sa 20+ milyong mga gumagamit na na-download ang extension na ito.

Ano ang Pinakamahusay na Mga Paraan upang Maiwasan ang Pag-atake muli?

Nabatid ng mga mananaliksik na ang paggamit ng pag-atake ay hindi maaaring mangyari maliban kung ang isang nakakahamak na add-on ay nai-download at ipares sa kahit isang mahina na add-on. Gayundin, ang mga extension na may mahusay na pag-programming at kamakailan-lamang na mga pag-update ay mas malamang na masugatan. Samakatuwid, inirerekomenda ng vpnMentor:

  • Paggamit ng mga extension na may isang aktibong pag-update record
  • Pag-download lamang ng mga extension mula sa mga kilalang mapagkukunan
  • Pagpapanatili ng iyong browser na napapanahon
  • Pamamahala ng iyong library ng extension at pag-alis ng mga hindi mo na ginagamit

Ayon sa mga mananaliksik, ang susi para sa panandaliang proteksyon ay ang pagbabantay. Sa pamamagitan ng pag-alam sa mga gumagamit, developer, at Mozilla vetters tungkol sa isyung ito, lahat ay maaaring maging maingat sa blacklist malisyosong mga extension.

“Naturally, hindi namin nilalayon ang aming gawain na ma-kahulugan bilang isang pag-atake sa mga pagsisikap ng mga kadre ng Firefox ng mga extension vetters, na may isang mahalagang at mahirap na trabaho …” isinulat nila sa papel. “Gayunpaman, ipinapakita ng aming mga eksperimento na ang mga kasalukuyang [add-on vetting tool ay hindi sapat upang mahawakan ang klase ng pag-atake na ito, at ang mga pamamaraan na ipinapanukala namin ay maaaring magsilbing isang unang hakbang patungo sa pagpapalakas ng proseso ng vetting upang makita ang mga extension-reuse na kahinaan.”

Ang koponan ay lumilipat din sa proyekto ng CrossFire sa GitHub. Kapag magagamit ito, maaaring may magsumite ng isang extension bilang isang pag-input at makita ang mga code-reuse na kahinaan sa loob nito. Ang mga nag-develop ay maaaring mag-isyu ng mga update upang ayusin ang mga pagkakamali.

Ay isang Universal Fix na Na-develop?

Oo. Ang pananaliksik ay lumilikha ng isang mabilis na tugon mula sa Mozilla: “Dahil ang mga panganibGumamit muli ng Mga Pag-atake ng Vulnerability na Natagpuan sa Mga Extension ng Firefox Security tulad ng isang umiiral na ito, kami ay umuusbong pareho ang aming pangunahing produkto at ang aming platform ng mga extension upang bumuo ng higit na katiwasayan. “

Ang tala ng kumpanya na ang mga add-on na isinulat sa pamamagitan ng bagong platform ng WebExtensions (magagamit sa beta na may Firefox 46) ay pumipigil sa problema. Gayundin, kapag inilulunsad ang Electrolysis Project ng Mozilla sa huling taon, ang mga extension ay ihiwalay sa pamamagitan ng sandboxing. Ang pagbabagong ito ay maiiwasan ang anumang nakakahamak na extension mula sa pakikipag-usap sa isang mahina laban.

Konklusyon

Dahil ang mga kahinaan ay umaabot sa halos lahat ng mga pinakatanyag na mga add-on, ang banta ng muling pag-atake ay hindi maaaring gaanong madadala. Mahalaga sa pagkapagod, gayunpaman, na ang maingat na pag-install ng add-on na kasama ng mas malapit na pagsusuri ng mga vetters at ang mga developer ay dapat maiwasan ang mga nakakahamong mga add-on mula sa pagpasok sa Firefox library. Kaya, siguraduhing mag-download ng mga pinagkakatiwalaang mga extension ng seguridad na pinananatiling napapanahon hanggang ngayon, o hindi bababa sa hanggang sa ipinatupad ang proyektong Electrolysis.

Tagabigay ng Ranggo Ang aming Rating ng Gumagamit ng Kalidad
Choice ng Editor 5.0 / 5
Basahin ang Suriin
Maghanap ng Higit Pa Magsimula >> Puntahan ang website
2 4.9 / 5
Basahin ang Suriin
Maghanap ng Higit Pa Magsimula >> Puntahan ang website
3 4.8 / 5
Basahin ang Suriin
Maghanap ng Higit Pa Magsimula >> Puntahan ang website
4 4.8 / 5
Basahin ang Suriin
Maghanap ng Higit Pa Magsimula >> Puntahan ang website
5 4.7 / 5
Basahin ang Suriin
Maghanap ng Higit Pa Magsimula >> Puntahan ang website
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map