Un'ondata di componenti aggiuntivi di malware ha colpito il Mozilla Firefox Extensions Store

Se navighi nel negozio Mozilla ufficiale per le estensioni di Firefox, chiamato Mozilla AMO, potresti imbatterti in estensioni che hanno nomi di prodotti software popolari o estensioni.

Le estensioni come Adobe Flash Player o ublock Origin Pro sono attualmente elencate nel negozio Mozilla AMO. Questi non hanno utenti al momento della scrittura in quanto sono nuovi di zecca e sembrano essere stati creati e caricati da utenti casuali (utente di Firefox xyz).

Le estensioni non hanno descrizione e richiedono l'accesso a tutti i dati per tutti i siti Web. Quando scarichi le estensioni, potresti notare che il nome dell'estensione non corrisponde necessariamente al nome del file scaricato. Il download se ublock origin pro ha restituito un file adpbe_flash_player-1.1-fx.xpi.

Le estensioni effettive hanno dimensioni di file diverse e anche le loro funzionalità possono differire. Tutti hanno in comune che ascoltano determinati input dell'utente e li inviano a un server Web di terze parti.

L'estensione uBlock copycat invia i dati del modulo a un server web, il primo copycat Adobe Flash Player che ho controllato ha registrato tutti gli input da tastiera e ha fatto lo stesso.

Mozilla rimuoverà le estensioni non appena le noterà. Il problema qui è che questo accade dopo il fatto. Le estensioni di spam possono comparire nelle ricerche degli utenti e si presentano anche quando si ordina in base agli aggiornamenti recenti.

Mozilla è passato da un modello "revisione prima, pubblicazione seconda" a un modello "pubblicazione prima, revisione seconda" nel 2017. Qualsiasi estensione caricata su Mozilla AMO che supera i controlli automatici viene pubblicata per prima, ad eccezione delle estensioni del programma Estensioni consigliate per Firefox.

Google fa la stessa cosa ma non rivede nemmeno manualmente le estensioni dopo la pubblicazione. Il processo porta a pubblicazioni più veloci ma apre anche le porte allo spam e alle estensioni dannose.

Parole di chiusura

Le estensioni dannose o spam che utilizzano i nomi di estensioni o programmi popolari non sono una novità. Il negozio AMO di Mozilla è stato colpito da ondate di estensioni di spam nel 2017 e nel 2018, entrambe avvenute dopo che Mozilla ha cambiato il processo di rilascio.

Il Chrome Web Store di Google è stato colpito ancora più duramente da estensioni indesiderate negli ultimi anni. La popolarità di Chrome e il fatto che Google non riveda manualmente le estensioni per impostazione predefinita svolgono un ruolo qui.

Mentre è facile individuare queste particolari estensioni false, altre potrebbero non essere così facili da individuare. Nel 2017 ho suggerito a Mozilla di aggiungere un batch "revisionato manualmente" alle estensioni per dare agli utenti di Firefox una maggiore fiducia nella legittimità delle estensioni nel repository ufficiale dei componenti aggiuntivi.

Ora tu: cosa pensi che dovrebbero fare aziende come Google o Mozilla?