Расширения, которые пользователи устанавливают в своем браузере Firefox, могут содержать вредоносный код, используемый злоумышленниками для похищения паролей, получения доступа к истории посещений, данных о системе и пр.
На днях в Сингапуре завершилась конференция Black Hat Asia. На ней особого внимания заслуживает выступление профессора Северо-восточного университета Бостона Уильяма Робертсона и доктора Бостонского университета Ахмеда Буйукахана. Они объединили свои усилия для того, чтобы продемонстрировать, насколько могут быть опасны привычные для многих пользователей браузерные расширения.
Эксперты на конференции наглядно продемонстрировали, как злоумышленники могут эксплуатировать популярные плагины в своих целях, внедряя в них вредоносный код. Одним из способов получить доступ к чужому ПК является создание копии популярного расширения с вредоносным функционалом.
Специалисты проделали огромную работу, так как во время мероприятия они назвали список популярных дополнений, которые оказались наиболее уязвимыми к различного рода вмешательствам киберпреступников. В этот перечень попало очень много расширений, популярность которых превышает 1 млн пользователей. Например, уязвимыми к разным эксплоитам оказалось дополнение Video DownloadHelper с активной аудиторией в 6,5 млн, NoScript, которым регулярно пользуются более 2,5 млн человек и GreaseMonkey с 1,5 млн активных пользователей. В ходе своего исследования бостонские специалисты также выяснили, что расширение Adblock Plus, которое на сегодняшний день является одним из самых популярных плагинов и насчитывает аудиторию в 22 млн человек, надежно защищено от такого рода взлома.
Для того чтобы выяснить, какие расширения можно взломать с помощью используемых эксплоитов, а какие более защищены, специалисты использовали фреймворк Crossfire, который разрабатывали самостоятельно.
Во время демонстрации выявленной проблемы Робертсон и Буйукайхан создали вредоносное расширение и загрузили его в официальный каталог дополнений Firefox. В этом продукте содержалось порядка 50-ти строк вредоносного кода. Примечательно, что их продукт прошел все обязательные проверки и был допущен к массовому использованию в браузере.
Всю информацию об обнаруженных проблемах эксперты уже передали в компанию Mozilla. Сейчас в их списке уязвимых расширений значится более 160 продуктов, но если злоумышленники разработают новый вектор для своих атак, то уязвимых плагинов может стать в несколько раз больше.