Компания Mozilla делает все, что в ее силах, чтобы усилить безопасность своего браузера и обеспечить своим пользователям максимальную защиту. Но иногда в программных продуктах удается обнаружить такие уязвимости, которые очень долго время подвергают опасности миллионы пользователей Firefox.
Уязвимость в веб-обозревателе, который сегодня входит в тройку самых популярных, удалось обнаружить создателю популярного расширения для блокировки рекламы AdBlock Plus Владимиру Паланту. Его находка не может не шокировать, так как она присутствовала в «огненном лисе» на протяжении последних 9-ти лет и все это время представляла огромную опасность для пользователей. Эксперт подверг серьезной критике механизм хранения паролей в популярном браузере и фирменном почтовом клиенте Thunderbird. Он отметил, что имеющуюся защиту можно запросто взломать и заполучить доступ ко всей хранящейся информации. По крайней мере ему для взлома понадобилось всего несколько минут.
По словам Паланта, уже очень много лет компания Mozilla использует для своего почтового клиента и фирменного браузера ненадежную защиту паролей. Внедрена она была вместе с интеграцией нового способа сохранения паролей, предлагающего подвергать их шифрованию и устанавливать мастер-пароль. Изначально такое новшество было воспринято восторженно, ведь до этого момент все пароли хранились в Firefox абсолютно без шифрования. Использование мастер-пароля, безусловно, необходимо в общей схеме защиты данных пользователя, ведь он является ключом к шифрованию и используется собственно для шифрования каждого сохраненного пароля. Для установки мастер-пароля пользователю необходимо зайти в настройки веб-обозревателя, выбрать там категорию «Приватность и безопасность» и переместится в раздел «Приватность браузера». Там в «Формах и паролях» необходимо отметить галочкой пункт «Использовать мастер-пароль» и рядом нажать на кнопку «Изменить мастер-пароль». Там пользователь сможет задать единый пароль для защиты. Но сейчас Палант поставил под сомнение надежность используемого способа. Он утверждает, что даже при наличии мастер-пароля браузер или почтовый клиент можно взломать и получить доступ ко всем хранящимся в них паролям.
Специалист рассказал, что конвертации пароля в ключ шифрования используется SHA-1 хеширование. Но современным процессорам не составит труда вычислить хеши SHA-1. Например, Nvidia GTX 1080 понадобится всего 1 секунда, чтобы считать более 8,5 млрд хешей. А это значит, что за указанное время можно перебрать 8,5 млрд паролей. В Firefox и Thunderbird используется только лишь одна итерация, в то же время в LastPass таких аж 100 000.
Учитывая названные цифры, эксперт утверждает, что всего за несколько минут путем подбора можно получить мастер-пароль, а с его помощью получить доступ ко всем остальным хранящимся в браузере или почтовом клиенте паролям, а в последствии и вообще ко всем данным, которые могут храниться в Firefox и Thunderbird.
Примечательно, что Плант является не первым экспертом, которому удалось обнаружить эту проблему. Почти 9 лет назад другой специалист Джастин Дольске обращал внимание компании Mozilla на ненадежность ее способа шифрования и даже оставлял сообщение об этом на официальном баг-трекере. Но за эти годы ничего не изменилось и компания Mozilla не предприняла никаких решений относительно исправления ситуации.