Lo scorso luglio, abbiamo sottolineato che l'estensione Google Reader Notifier si era trasformata in crapware, l'add-on NoScript stava violando un'altra estensione e persino l'estensione Fast Dial ti stava inviando spam, quindi era solo questione di tempo prima che un interno venisse fornito in bundle con un vero e proprio trojan.
L'ultima volta, è stato semplice come i link di spam visualizzati nel tuo browser, e tracciare gli URL che avevi intenzione di: davvero frustrante e malvagio, ma non necessariamente la fine del mondo, dal momento che non avrebbe preso il controllo del tuo PC.
Two experimental add-ons, Version 4.0 of Sothink Web Video Downloader and all versions of Master Filer were found to contain Trojan code aimed at Windows users. Version 4.0 of Sothink Web Video Downloader contained Win32.LdPinch.gen, and Master Filer contained Win32.Bifrose.32.Bifrose Trojan. Both add-ons have been disabled on AMO.
Se hai installato quelle estensioni in qualsiasi momento, assicurati di eseguire una scansione antivirus completa sul tuo PC.
Rant su Firefox Extension Security
Invece di fare di nuovo rancore, lasciami solo citare quello che ho detto l'ultima volta che è successo …
What’s to stop yet another Firefox extension from turning into badware, sneaking in tracking codes, or stealing your personal information? It’s already happened with two of the most popular extensions… Somebody at Mozilla needs to do something about this.
L'attuale processo su Mozilla è di eseguire uno scanner antivirus automatico contro le estensioni e, a seguito di questo problema, hanno aggiunto altri strumenti di scansione al processo. Questo non risolve il vero problema, perché qualsiasi programmatore di virus con alcune abilità può scrivere un virus personalizzato che non viene rilevato da nessuno degli strumenti di scansione dei virus commerciali. Certo, alcuni strumenti hanno un'euristica che probabilmente rileverà i rootkit e alcune delle tecniche più rischiose, ma non impedirà completamente il problema.
Il vero problema non è nemmeno un virus tradizionale, per quanto mi riguarda. Quanto sarebbe difficile per qualcuno scrivere un'estensione nativa per Firefox che semplicemente prende tutte le tue password e le invia a un sito canaglia? Non esiste un livello di sicurezza per impedire ai componenti aggiuntivi di accedere alle informazioni personali memorizzate nel browser e nessun programma antivirus acquisirà un'estensione nativa di Firefox poiché sono scritte in Javascript.
La soluzione parziale
Nessuno si aspetta che Mozilla esegua la scansione del codice sorgente di ogni singola estensione, ma è comunque incline all'errore umano. Ciò che avrebbe senso, tuttavia, è di avere alcuni livelli di sicurezza che impediscono ai componenti aggiuntivi di accedere a qualsiasi delle tue informazioni personali memorizzate nel browser, a meno che tu non le autorizzi espressamente.
Cosa puoi fare per essere sicuro?
Devi sempre assicurarti di controllare le recensioni su un'estensione prima di installarla, non limitarti a pronunciare le parole di qualcun altro quando garantiscono un'estensione … assicurati di fare la dovuta diligenza per verificare prima le cose. La stessa cosa vale per qualsiasi applicazione, ovviamente: se installi le applicazioni senza eseguire una scansione antivirus, ti stai lasciando completamente libero dal fatto che il tuo PC venga dirottato.
Leggere: Problema di sicurezza su AMO [Blog componenti aggiuntivi di Mozilla]