外媒Arstech近日报道称,上周在新加坡召开的黑帽亚洲2016安全峰会上,来自美国的两名科学专家在演讲中详细解释了热门Firefox扩展应用程序如何被其他(恶意)扩展程序利用来攻击用户。来自美国波士顿大学的Ahmet Buyukkayhan博士和东北大学的William Robertson教授在此次峰会上透露和公布了能够被攻击者利用的Mozilla的扩展生态系统漏洞。
8 |4 V" q& C6 v. b( f
! w' L* w& A# o( m5 H 在过去两年间,两名安全专家使用了称之为“extension reuse”的机制来创建了各种恶意扩展程序,从而让恶意代码感染其他扩展程序,并最终通过他们来最终感染系统。并且伴随着感染的深入,该恶意扩展程序可在Firefox不断执行提升权限,从而获取足够多的能力来实现攻击者的目的。而更为糟糕的是,至少有1款恶意扩展能够轻松通过Mozilla的审查流程。7 H/ t( q. u3 q4 d; G
" s: V+ {1 X; `: w! Q
0 o. Y& w6 @5 E7 J: v5 d! K7 U
$ S, |& s, Y3 R* j
4 m1 \6 q$ o6 w, o
; T/ }. ]. x1 i+ ] 研究人员指出,虽然成功发起攻击的条件限制比较多,比如目标用户必须向安装恶意扩展;安装了恶意扩展的用户的Firefox浏览器上还必须安装有能被利用的扩展程序;当然,鉴于10个热门扩展中有9个都有几率被感染,攻击成功的几率还是比较可观的。在他们的测试中,他们可以使用类似于油猴扩展(超过150万激活安装)、Video DownloadHelper (650万激活安装)和NoScript (250万激活安装)等10个热门扩展中的9个成功实现了恶意攻击。之所以会出现此情况,和Firefox浏览器自身并没有良好的扩展独立运行(沙箱)有关,而其他大多数浏览器已经具备这项技术。1 Z" U3 L l1 m0 U r7 H& H. R
% D2 L9 c9 m& H7 G3 T( o/ Q5 O
- a& S3 |# C, b
2 y6 U; k+ q* z/ z! w "我们注意到,虽然可以结合多个扩展重用漏洞以进行复杂高级的攻击,但很多时候即使在系统上安装了为数很少的扩展,只需要使用一个有漏洞的扩展就能发动致命的攻击。"。"例如,攻击者可以简单地重定向用户访问的链接到网络钓鱼网站或者下载含有恶意程序的文件到用户系统中。"7 U* K: c! s3 v3 M. n' l
Firefox扩展被恶意利用大多数用户很受伤 Firefox浏览器拼老命连夜赶出升级版本修复
. [& A/ }) f4 q. u6 T/ q9 A提到Mozilla的Firefox浏览器大家一定不陌生,最近该公司针对iOS系统发布了Firefox 3.0版本。心版本不仅与第三方应用融合的更好,而且增加了安全特性。 在新版本当中加入了Firefox Password Manager密码管理器,能够安全地储存网页用户名和密码。同时登录网页可以自动填写,也可以使用四位数字加密以及Touch ID来保障密码管理器。虽然对真正的黑客来说未必有效,但起码可以防止手机丢失时别人窃取你的密码,也可以防止身边的人随意浏览。
细节方面进行了大量修改,比如可从新标签页删除默认建议网页;对新用户,Alexa.com排名的5个站点会作为默认建议网页(根据国家);根据用户网页访问历史,与Alexa排名前100的网站,自动完成和预测URL地址,更快地访问网站;加入丹麦区域设置。 1 ~7 e0 z" Y a3 `
& P0 v. P0 T5 o2 A. ^. R
|