Firefox vulnerabile all'installazione silenziosa delle estensioni

Abbiamo avuto modo di vedere l’altro giorno che Chrome ha deciso d’ora in poi di bloccare per sempre l’installazione silenziosa di estensioni compiuta al di fuori del browser. Secondo i ricercatori della compagnia di sicurezza informatica Zscaler la stessa cosa dovrebbe valere anche per Firefox, che nei loro studi si è rivelato pericolosamente vulnerabile ad exploit che sfruttano questo metodo.

Se seguiamo il video qui sopra, vediamo una demo di come sia possibile installare un’estensione su Firefox senza che l’utente venga avvisato in alcuna maniera.

Se non ci credete, Zscaler, che ha pubblicato il video già settembre scorso, vi permette di scaricare lo stesso programma e codice usati nella sua prova.

Va ovviamente fatto notare che la procedura usata per “confondere” Firefox non è poi così semplice, ed è nettamente maliziosa. Nessuno autore di estensioni normale, per quanto affamato di profitto, si avvicinerebbe tanto ad un malware come in questo caso.

Per funzionare il trucco ha bisogno di aggiungere delle informazioni al database extensions.SQLite di Firefox, che verrà così ingannato. Il browser agirà come se l’estensione fosse già stata installata e quindi non chiederà conferme di sorta all’utente, perché i valori corretti sono stati alterati.

Non è neppure impossibile nascondere un’estensione dalla lista dei plug-in attivati, perché basta fare in modo che il codice malevolo si colleghi ad un altro plug-in già esistente. Sembra un po’ di essere tornati ai tempi di ActiveX.

In ogni caso gli sviluppatori di Mozilla tendono ad ascoltare i campanelli di allarme, anche se è troppo presto per dire se attueranno una politica assolutista come quella di Chrome.

Via | Geek.com

  • shares
  • Mail