通常裝有瀏覽器的用戶都會安裝附加元件 (或擴充功能),但是原來黑客越來越厲害,連附加元件都有機會被黑客利用來攻擊。
日前新加坡召開 “Black Hat Asia 2016″,會上有來自美國波士頓大學的 Ahmet Buyukkayhan 博士和東北大學的 William Robertson 教授進行演講,並詳細解釋 “熱門 Firefox 附加元件,如何被其他惡意元件利用來攻擊用戶”。
在過去兩年,兩名專家以 “Extension Reuse” 的機制來建立各種惡意附加元件,從而讓惡意代碼感染其他附加元件,最終通過他們來最終感染系統。伴隨著感染的深入,惡意附加元件更可在 Firefox 瀏覽器中不斷提高執行權限,從而獲取實現攻擊者目的。而更嚴重的是至少有超過 1 款惡意附加元件,能夠輕易通過 Mozilla 的審查機制!
但當中有的好消息是,他們指出成功發起攻擊是需要達成一定的條件 – 目標用戶必須安裝惡意附加元件;而已安裝惡意附加元件用戶的 Firefox 瀏覽器上還必須安裝有可能被利用的附加元件。不過在他們的測試中使用 Greasemonkey 元件 (超過 150 萬用戶安裝)、Video DownloadHelper (650萬用戶安裝) 和 NoScript (250萬用戶安裝) 等 10 個熱門附加元件中,9 個成功實現惡意攻擊。
而他們指 Firefox 之所以容易遭受這種攻擊,原因是 Firefox 不同其他瀏覽器般設有 SandBox 將附加元件獨立起來,所以被攻擊的風險比用其他瀏覽器為高。
但 Firefox 的用戶著實不少,只好小心不要隨意安裝 Firefox 的附加元件了。。。
