Een golf van malware-add-ons raakte de Mozilla Firefox Extensions Store

Als u door de officiële Mozilla-winkel bladert naar Firefox-extensies, Mozilla AMO genaamd, kunt u struikelen over extensies die namen hebben van populaire softwareproducten of extensies.

Extensies zoals Adobe Flash Player of ublock Origin Pro worden momenteel vermeld in de Mozilla AMO store. Deze hebben geen gebruikers op het moment van schrijven omdat ze gloednieuw zijn en ze lijken te zijn gemaakt en geüpload door willekeurige gebruikers (Firefox-gebruiker xyz).

De extensies hebben geen beschrijving en vereisen toegang tot alle gegevens voor alle websites. Wanneer u de extensies downloadt, merkt u mogelijk dat de naam van de extensie niet noodzakelijk overeenkomt met de gedownloade bestandsnaam. De download als ublock origin pro heeft een adpbe_flash_player-1.1-fx.xpi-bestand geretourneerd.

De daadwerkelijke extensies hebben verschillende bestandsgroottes en hun functionaliteit kan ook verschillen. Ze hebben allemaal gemeen dat ze naar bepaalde gebruikersinvoer luisteren en deze naar een externe webserver verzenden.

De uBlock copycat-extensie verzendt formuliergegevens naar een webserver, de eerste Adobe Flash Player-copycat die ik controleerde, logde alle toetsenbordinvoer en deed hetzelfde.

Mozilla zal de extensies verwijderen zodra het ze opmerkt. Het probleem hier is dat dit achteraf gebeurt. De spam-extensies kunnen verschijnen in zoekopdrachten van gebruikers en ze verschijnen ook wanneer u sorteert op recente updates.

Mozilla is in 2017 overgestapt van een "review eerst, publiceer tweede" naar een "publiceer eerst, review tweede" model. Elke extensie die is geüpload naar Mozilla AMO die geautomatiseerde controles doorstaat, wordt eerst gepubliceerd met uitzondering van extensies van het Firefox Aanbevolen Extensies-programma.

Google doet hetzelfde, maar beoordeelt extensies niet eens handmatig na publicatie. Het proces leidt tot snellere publicaties, maar opent ook de deur voor spam en kwaadaardige extensies.

Slotwoorden

Schadelijke of spam-extensies die de namen van populaire extensies of programma's gebruiken, zijn niet iets nieuws. De AMO-winkel van Mozilla werd getroffen met golven van spam-extensies in 2017 en 2018, beide gebeurden nadat Mozilla het releaseproces had veranderd.

De Chrome Web Store van Google werd de laatste jaren nog harder getroffen door ongewenste extensies. De populariteit van Chrome en het feit dat Google standaard geen extensies handmatig beoordeelt, spelen hier een rol.

Hoewel het gemakkelijk is om deze specifieke nep-extensies te herkennen, zijn anderen misschien niet zo gemakkelijk te herkennen. In 2017 stelde ik voor dat Mozilla een "handmatig beoordeelde" batch aan extensies zou toevoegen om Firefox-gebruikers meer vertrouwen te geven in de legitimiteit van extensies in de officiële repository voor add-ons.

Nu jij: wat denk je dat bedrijven als Google of Mozilla moeten doen?