感谢Chrome用户的投递 外媒Arstech近日报道称,上周在新加坡召开的黑帽亚洲2016安全峰会上,来自美国的两名科学专家在演讲中详细解释了热门Firefox扩展应用程序如何被其他(恶意)扩展程序利用来攻击用户。来自美国波士顿大学的Ahmet Buyukkayhan博士和东北大学的William Robertson教授在此次峰会上透露和公布了能够被攻击者利用的Mozilla的扩展生态系统漏洞。 在过去两年间,两名安全专家使用了称之为“extension reuse”的机制来创建了各种恶意扩展程序,从而让恶意代码感染其他扩展程序,并最终通过他们来最终感染系统。并且伴随着感染的深入,该恶意扩展程序可在Firefox不断执行提升权限,从而获取足够多的能力来实现攻击者的目的。而更为糟糕的是,至少有1款恶意扩展能够轻松通过Mozilla的审查流程。 研究人员指出,虽然成功发起攻击的条件限制比较多,比如目标用户必须向安装恶意扩展;安装了恶意扩展的用户的Firefox浏览器上还必须安装有能被利用的扩展程序;当然,鉴于10个热门扩展中有9个都有几率被感染,攻击成功的几率还是比较可观的。在他们的测试中,他们可以使用类似于油猴扩展(超过150万激活安装)、Video DownloadHelper (650万激活安装)和NoScript (250万激活安装)等10个热门扩展中的9个成功实现了恶意攻击。之所以会出现此情况,和Firefox浏览器自身并没有良好的扩展独立运行(沙箱)有关,而其他大多数浏览器已经具备这项技术。 "我们注意到,虽然可以结合多个扩展重用漏洞以进行复杂高级的攻击,但很多时候即使在系统上安装了为数很少的扩展,只需要使用一个有漏洞的扩展就能发动致命的攻击。"。"例如,攻击者可以简单地重定向用户访问的链接到网络钓鱼网站或者下载含有恶意程序的文件到用户系统中。" 编译自:arstechnica
