Vlani v júli sme poukázali na to, že rozšírenie aplikácie Google Reader Notifier sa zmenilo na crapware, prídavok NoScript zabíjal ďalšie rozšírenie a dokonca aj rozšírenie rýchlej voľby vás nevyžiadalo, takže bolo len otázkou času, kým príde rozšírenie s trójskym kôňom plným fúziou.
Naposledy to bolo jednoduché ako spamové odkazy, ktoré sa zobrazujú vo vašom prehliadači a sledovanie URL, ktoré ste sa chystali - naozaj frustrujúce a zlé, ale nie nevyhnutne koniec sveta, pretože to nebolo prevzatie vášho PC,
Two experimental add-ons, Version 4.0 of Sothink Web Video Downloader and all versions of Master Filer were found to contain Trojan code aimed at Windows users. Version 4.0 of Sothink Web Video Downloader contained Win32.LdPinch.gen, and Master Filer contained Win32.Bifrose.32.Bifrose Trojan. Both add-ons have been disabled on AMO.
Ak ste nainštalovali tieto rozšírenia v ľubovoľnom bode, mali by ste sa uistiť, že v počítači máte spustenú úplnú antivírusovú kontrolu.
Rant O bezpečnostnom rozšírení Firefoxu
Namiesto toho, aby som opäť razil, dovoľte mi len citovať to, čo som povedal naposledy, keď sa to stalo …
What’s to stop yet another Firefox extension from turning into badware, sneaking in tracking codes, or stealing your personal information? It’s already happened with two of the most popular extensions… Somebody at Mozilla needs to do something about this.
Aktuálny proces v službe Mozilla spočíva v spustení automatizovaného vírusového skenera proti rozšíreniu a v dôsledku tohto problému pridali do procesu ďalšie skenovacie nástroje. To nevyrieši skutočný problém, pretože každý vírusový programátor s určitými schopnosťami môže napísať prispôsobený vírus, ktorý nie je zobúdaný žiadnym komerčným nástrojom na vyhľadávanie vírusov. Samozrejme, niektoré nástroje majú heuristiku, ktorá pravdepodobne zistí rootkity a niektoré z najskvelejších techník, ale to úplne nezabráni.
Skutočným problémom nie je ani tradičný vírus, čo sa mňa týka. Ako ťažké by bolo, keby niekto napísal natívne rozšírenie prehliadača Firefox, ktoré jednoducho zoberie všetky vaše heslá a pošle ich na nepoctivú stránku? Neexistuje žiadna bezpečnostná vrstva, ktorá by zabránila prístupu doplnkov k vašim osobným informáciám uloženým v prehliadači a žiadny vírusový skener sa chystá vyzdvihnúť natívne rozšírenie Firefoxu, pretože sú napísané v jazyku Javascript.
Čiastočné riešenie
Nikto neočakáva, že Mozilla skenuje zdrojový kód každého jednotlivého rozšírenia - to je len náchylné na ľudskú chybu. Čo by malo zmysel, je však mať určité vrstvy zabezpečenia, ktoré zabraňujú prístupu doplnkov k ľubovoľným vašim osobným informáciám uloženým v prehliadači, pokiaľ im to výslovne neumožníte.
Čo môžete urobiť pre bezpečnosť?
Pred inštaláciou by ste mali vždy skontrolovať recenzie na rozšírení - nemusíte len prijať slovo iného, keď ručí za predĺženie … uistite sa, že vykonáte svoju náležitú starostlivosť, aby ste najskôr skontrolovali veci. To isté platí pre každú aplikáciu, samozrejme - ak inštalujete aplikácie bez toho, aby ste robili antivírusový sken, necháte sa úplne otvorene, aby ste svoj počítač uviazli.
Prosím, prečítajte si: Bezpečnostné vydanie na AMO [Mozilla Add-ons Blog]
