Исследователи информационной безопасности Ахмед Буюккайхан и Уильям Робертсон в ходе своего выступления на конференции Black Hat Asia рассказали о новом векторе кибератак. Эксперты сообщили, что популярные расширения для браузера Firefox являются потенциальной угрозой для пользователей.
На протяжении последних двух лет Буюккайхан и Робертсон занимались изучением механизма extension reuse (повторное использование расширений), который подразумевает, что вредоносное расширение отправляет подозрительные запросы другим дополнениям и пользуется их уязвимостями. Поскольку все запросы от расширений, которые делаются через Firefox, выполняются с высокими привилегиями, в распоряжении злоумышленника оказывается широкий диапазон возможностей. Стоит отметить, что такие вредоносные дополнения могут легко оказаться в официальном каталоге Mozilla.
Вредоносное дополнение не отправляет подозрительные запросы внутренним механизмам браузера, а использует для осуществления кибернападений ошибки в других расширениях. Исследователями был проведен эксперимент, в рамках которого был создано собственное опасное расширение ValidateThisWebsite, которое покажется обычному пользователю безвредным, но в действительности может быть использовано для атак типа extension reuse. Дополнение состоит из 50 строк кода. Создатели расширения не задействовали обфускацию, чтобы облегчить доступ к исходному коду для специалистов Mozilla. Однако вредоносное дополнение с успехом прошло все проверки, проведенные в автоматическом и ручном режиме, и было добавлено в каталог расширений.
По словам экспертов, многие популярные расширения являются уязвимыми для атак типа extension reuse, в том числе GreaseMonkey, NoScript и Video DownloadHelper. Чтобы найти уязвимые расширения, исследователи пользовались фреймворком Crossfire.
По словам Робертсона, фреймворк дополнения в действительности является бэкдором для третьих лиц, которые могут воспользоваться им для того, чтобы выполнить код с высокими привилегиями. Эксперт считает, что доверять разработчикам дополнений не следует.
В свою очередь Буюккайхан заметил, что расширения, обладающие большими мощностями, являются наиболее уязвимыми для вредоносного дополнения.
Исследователи проинформировали разработчиков Mozilla о проблеме и передали им исходный код Crossfire. Оказалось, что из 10 расширений, являющихся наиболее популярными, лишь в Adblock Plus отсутствуют уязвимости. Прочие дополнения можно применять для проведения кибератак.
Источником проблемы является недостаточная изоляция расширений в Firefox. Браузер дает расширениям возможность пользоваться одним и тем же пространством имен, вследствие чего одно дополнение может влиять на работу другого.
Вице-президент Mozilla уже прокомментировал выступление исследователей и сообщил о том, что разработчики проекта стремятся повысить уровень безопасности Firefox. Также он рассказал, что новый API для создания расширений WebExtensions является более надежным, и расширения, которые были разработаны с его помощью, нельзя применять для атак типа extension reuse.