Le estensioni del Browser può essere utilizzato per attacchi
I criminali informatici sono in grado di lavorare a guadagnare la fiducia degli utenti che scaricare le estensioni per migliorare la loro esperienza sul Web, e solo mostrare i loro veri colori molto più tardi, Doug Browne, direttore generale di Security-Assessment.com, ha detto mercoledì in un'intervista a ZDNet Asia. Auckland, Nuova Zelanda a base di società è una controllata di Datacraft Asia.
"Inizialmente, sarà solo un'estensione che si può utilizzare...[si] offre grande funzionalità e, di conseguenza, più e più persone iniziare ad usarlo," ha spiegato. "In una versione successiva--[in forma di un aggiornamento]--si farà carico di codice dannoso sul [utente] macchina."
Tale scenario potrebbe "facilmente" sviluppare, Browne ha avvertito, aggiungendo che la tattica potrebbe essere già in uso. Le organizzazioni criminali possono permettersi di pagare gli sviluppatori per scrivere "bene estensioni", ha osservato.
Come è, estensioni di Firefox stanno dimostrando di essere vulnerabili, ha detto Browne. Security-Assessment.com's recente studio di "circa nove o 10" estensioni per il browser di Mozilla hanno rivelato a tutti di essere vulnerabili agli attacchi. Le estensioni sono state tra le più in alto in classifica, e potrebbe anche essere "raccomandato" dal sito Mozilla.
Firefox, ha riferito, ha circa il 23 per cento del browser popolazione, e l ' 80% delle installazioni eseguire estensioni. Secondo Mozilla, sito Web, più di 1,5 miliardi di estensioni sono state scaricate, di cui circa 160 milioni di euro sono in uso.
Tre delle vulnerabilità sono già state divulgate pubblicamente; i rispettivi sviluppatori sono stati allertati per i fori rimanenti, ha detto Browne. Una delle estensioni led di numeri di carte di credito e servizi bancari online le credenziali di essere esposti, ha osservato.
Come il creatore e distributore di Firefox, Mozilla prove gli aspetti funzionali di un estensione, non di sicurezza, Browne ha sottolineato. Anche quando l'add-on sembra essere "raccomandato da Mozilla", non è stato oggetto di test di sicurezza.
"In realtà non vedi se c'è qualche codice maligno--se c'è una vulnerabilità nel codice che può essere sfruttata per ottenere l'accesso a [utenti] informazioni," ha detto.
Mozilla direttore di add-ons Nick Nguyen ha sottolineato, tuttavia, che la sicurezza "è sempre stata una parte vitale" di add-ons comunità.
"Tutte le pubbliche add-ons su add-ons.mozilla.org codice rivisto da un editor per il codice di sicurezza e qualità", ha detto in una e-mail. "Dobbiamo migliorare continuamente gli strumenti che i nostri editori utilizzare per trovare falle di sicurezza nel add-ons, e lavoriamo con i nostri migliori sviluppatori di codice di condotta verifiche rivedendo add-ons e fornire consulenza agli sviluppatori per migliorare il codice esistente."
Nguyen ha aggiunto: "continuiamo a essere pienamente in sintonia con la nostra comunità e fare del nostro meglio per reagire rapidamente quando vengono rilevati problemi."
Il problema di estensioni, Browne aggiunto, non è limitato al browser, siti di social networking sono anche a rischio.
Per una migliore protezione contro tali tentativi di furto di dati, le aziende devono educare gli utenti finali su "ciò che dovrebbe o non dovrebbe fare", ha detto Browne. Le organizzazioni dovrebbero anche impedire l'uso delle estensioni, oltre a limitare browser, al punto di far rispettare solo, per facilità di gestione delle tecnologie di navigazione e gli aggiornamenti.
Autore: Keylogger.Org Team