原标题:安全专家成功自制带病毒感染Firefox附加元件,上传到官方商店还通过人工审核
在新加坡举办的亚洲黑帽安全会议上,美国Ahmet Buyukkayhan、William Robertson这两位资安专家提出警告,表示Firefox的附加元件很容易被其它骇客拿来利用,变成攻击使用者的工具,两名专家并且示范了他们怎么利用自制的恶意附加元件,感染到其它“好的”附加元件上头。
这两名安全专家,在过去两年的时间里研究并建立了名为“extension?reuse”的病毒攻击方式。功能是可以去自动感染其它的附加元件。而且随着他们取得了其它附加元件的控制权之后,就可以不断的提高自己在Fioirefox里头的权限,拥有更多的能力。
他们表示,“extension?reuse”这种方式要入侵Firefox并且最终取得权限的条件限制其实相当多,首先,要攻击的这台电脑中的Firefox中,首先使用这必须要先安装一个已经被感染的“extension?reuse”,其次,是Firefox里头还要安装其它可以被攻击的附加元件。
不过,虽然不是所有的附加元件都能够被攻击,但是他们找到至少目前Firefox上面的热门附加元件中,就有10多种可以轻易被攻击,其中包括有GreaseMonkey add-on (超过150万安装人数)、Video DownloadHelper (650万安装人数)、NoScript (250万安装人数)。
为了验证他们的发现,他们做了一个名叫“ValidateThisWebsite”的附加元件上传到Firefox的附加元件商店并且接受审核,他们上传的这个附加元件虽然会感染其它元件,不过从行为上来说则是并没有任何的危害行为,因此在机器审核上就通过了。
而之后,他们更大的的要求了人工审核的“fully reviewed”,这是更高阶的对附加元件的审核方式,这个伪病毒程式只有50条程式码,而且程式码看起来简洁易懂,而Mozilla的审核人员几乎没有任何异议,就通过了这个附加元件的审核。
他们表示,虽然很多人都对浏览器內建的这种商店机制感到很安心,觉得经过审核后的元件应该就很安全。不过事实上这也成了一种保护色,让一些有潜在风险的附加元件得以大方的进入你的浏览器。
他们在会后也表示已经将相关资料提供给Mozilla的人员,帮助他们提高Firefox的安全性。Firefox也发表声明表示将会针对这份研究中揭露出来的问题,去解决相关的漏洞。
资料来源:softpedia、theregister
相关:
记者黄日暉/综合报道日本九州熊本16日凌晨再发生芮氏规模达7.3强震,美国地质调查所(USGS)专家估算,这起强震的威力是前晚规模6.5熊本地震的30倍大。根据美国地质调查所专家萨迪娜(Victor Sardina)指出,16日凌
好房网News记者钟钊榛/综合报道 南台强震引发市民对居住安全议题的重视,市府都市更新处除老屋整建维护一条龙服务外,对于想办理老旧建物重建的社区,还有提供都市更新法令说明及都更推动师到府辅导自力更新的服
好房网News林美欣/整理报道 交通部日前完成高铁南港站履勘,并提出19项须改善事项,之后经核准,预计7月营运通车。依前例经验,高铁站通车将带进人潮,被视为“新东区计划”核心的南港被专家视为黑马。 高铁南港站
4月13日,由泸州市航务管理局承担的科研项目《水车式双体发电船研究》项目顺利通过专家组验收。由省交通运输厅、省公路学会、长江泸州航道局、重庆轮船集团公司组成的专家组,通过审核科研资料,登船实地考察,对项目
4月13日,国家“千人计划”专家联谊会办公室主任沈伟一行5人来我区考察,区领导刘来英陪同。考察团一行先后参观了高新区规划展览馆、蓝色智谷·半岛“互联网+”综合体、山东国际生物科技园、中集海洋工程研究院、中国