افزونههای فایرفاکسی که به بدافزارها پناه میدهند
Admin10 آوریل 2016 اخبار فایرفاکس فایرفاکساگر در گذشته به شما میگفتیم رخنه یا آسیبپذیری در مرورگری شناسایی شده است و برای رفع آن باید وصله مورد نظر را دریافت کرده و آنرا نصب کنید، اکنون به شما میگوییم، برای خلاص شدن از دست بدافزارها باید تعدادی از افزونههای مرورگر فایرفاکس خود را حذف کنید.
در کنفرانس هکرهای کلاه سیاه آسیا که چند وقت پیش در سنگاپور برگزار شد، عنوان گردید که افزونههای محبوب فایرفاکس که میلیونها کاربر در سراسر جهان از آن استفاده میکنند، این قابلیت را در اختیار هکرها قرار میدهند تا در سکوت کامل سیستم قربانیان را به مخاطره انداخته و آزمونهای امنیتی خودکار و دستی موزیلا و سندباکس این مرورگر را دور زده و یک دربپشتی روی سیستم قربانی باز کنند.
هکرها این توانایی را دارند تا از نقاط ضعفی که در ساختار افزونهها قرار دارد استفاده کرده و به این شکل فعالیت مخرب خود را در پسزمینه افزونههای قانونی پنهان سازند. بهطور مثال، هکرها این توانایی را دارند تا یک افزونه محبوب که در برگیرنده یک آسیبپذیری است را رونویسی کرده تا در حملات به شیوه مؤثری از آن استفاده کرده و کدهای مخرب را درون آن وارد کنند. کارشناسان امنیتی در این ارتباط گفتهاند: “افزونهها با دسترسی سطح بالا اجرا میشوند، در نتیجه به اطلاعات حساس دسترسی دارند. همین موضوع باعث میشود یک افزونه مخرب به دادههای شخصی مرورگر کاربر، گذرواژه و منابع حساس سیستم دسترسی پیدا کرده و این اطلاعات را سرقت کنند.”
در کنفرانس امسال اعلام شد که نزدیک به 255 آسیبپذیری در افزونههای مختلف شناسایی شده است. جالب آنکه افزونههایی همچون NoScript با 2.5 میلیون کاربر و DownloadHelper با 6.5 میلیون کاربر و GreaseMonkey با 1.5 میلیون کاربر در این فهرست قرار گرفتهاند. اما افزونه Adblock Pluse با 22 میلیون کاربر دارای هیچ آسیبپذیری شناخته شدهای نبوده است. افزونههایی که به آسیبپذیریها آلوده بودهاند به هکرها این توانایی را میدهند تا کدهای مخرب خود را روی سیستم کاربران اجرا کرده، رخدادهای سیستمی را ثبت کرده، به شبکه متصل شده و قابلیتهای مضاعفتری همچون تزریق بدافزارهای دیگر یا پیادهسازی شبکهای از کامپیوترهای مطیع (Bot) را به وجود آوردند. پروفسور Ahmet Buyukkayhan از دانشگاه بوستون و پروفسور ویلیام رابرتسون از دانشگاه Northeastern به تشریح این شیوه مورد استفاده هکرها پرداختهاند. آنها از یک چارچوب Crossfire برای شناسایی افزونههای آسیبپذیر استفاده کردهاند. تصویر زیر چهارچوب طراحی شده توسط این دو کارشناس را نشان میدهد.
رابرتسون در این ارتباط گفته است: “همه ما به تولیدکنندگان مرورگرها اعتماد داریم. اما اگر کمی درباره ساختار افزونهها فکر کنید، متعجب خواهید شد، چگونه افزونهها این پتانسیل را دارند تا یک درب پشتی برای انجام فعالیتهای مخرب در اختیار هکرها قرار دهند. بهطوری که کدهای خود را در سطحی با مجوزهای بالا اجرا کنند. بهطور معمول موزیلا از مکانیزم ترکیب تحلیلهای خودکار و دستی و همچنین امضاء افزونهها برای بررسی مخرب بودن یا ایمن بودن آنها استفاده میکند، اما اگر این ساز و کار به درستی کار میکرد، مشکل را به ما نشان میداد. در حالی که در عمل شاهد چنین چیزی نیستیم. همین موضوع باعث میشود به توسعه دهندگان افزونهها اعتماد نکنیم.” این دو کارشناس امنیتی در مدل مفهومی که برای این منظور به مخاطبان کنفرانس نشان دادند، موفق شدند یک نرمافزار مخرب را بارگذاری کرده و افزونه خود را با موفقیت در فروشگاه فایرفاکس قرار دهند. این بدافزار حتی موفق شد از سد تحلیلهای پیشرفته سیستمی موزیلا به نام “بررسی کامل” با موفقیت عبور کند. این افزونه که ValidateThiswebsite نام دارد تنها از پنجاه خط کد استفاده میکرد و هیچ کد پیچیدهای درون آن قرار نداشت.
رابرتسون در ادامه صحبتهای خود گفته است: “هر چه افزونهها به آسیبپذیریهای پیچیدهای آلوده باشند، گسترده آلودهسازی آنها بیشتر خواهد بود. مکانیزم بررسی کامل، بالاترین سطح امنیتی است که موزیلا از آن استفاده میکند.” افشای این الگوی حمله ماحصل تحقیقی دو ساله است. در مقطع فعلی موزیلا فهرستی از افزونههای مخرب که در بر گیرنده 16 آسیبپذیری هستند را در فهرست سیاه قرار داده است. اما با وجود این گزارش به احتمال زیاد این فهرست الگوهای دیگری که مهاجمان از آن استفاده میکنند را شامل خواهد شد. تصویر زیر الگویی که حملات بر پایه آن انجام میشوند، را نشان میدهد.
همین موضوع باعث خواهد شد بر تعداد افزونههای آسیبپذیر افزوده شود. نیک نکوین مدیر محصول فایرفاکس موزیلا در این ارتباط گفته است: “طراحان از آگوست تا 18 ماه دیگر فرصت دارند به الگوی جدید WebExtensions مهاجرت کنند. با توجه به مخاطراتی این چنینی، ما هر دو بخش هسته محصول و پلتفرم افزونهها را برای پیادهسازی امنیت بیشتر تکامل خواهیم داد.” مجموعه توابع ویژه افزونههای مرورگری که برای ساخت افزونههایی مبتنی بر الگوی WebExtensions مورد استفاده قرار میگیرد، در اختیار توسعهدهندگان قرار گرفته است. توابعی که به صورت داخلی باعث افزایش امنیت افزونههای سنتی شده و از افزونهها در برابر حملات خاصی که در کنفرانس کلاه سیاههای آسیا به آن اشاره گردید، محافظت به عمل میآورد. موزیلا در راستای امنیت بیشتر مرورگر خود در نظر دارد معماری چند پردازشی را به فایرفاکس و سندباکس بیافزاید.
.Copyright © 2012-2024 p30mororgar.ir All rights reserved
دیدگاهتان را بنویسید