torsdag 27 september 2012

Skadliga tillägg installeras omärkbart i Firefox

Du har säkert stött på program, som t.ex. Flash Player eller annan gratis programvara, som vill installera en toolbar (spyware/adware) i din webbläsare. Det handlar då om en 3:e-parts-installation av en så kallad "extension". 

I Firefox består installationen av extensions/tillägg av att kopiera webbläsartillägget till din Firefox-profil (eller en mapp med extentions som delas av alla profiler).

Exempel på mjukvara som innehåller adware.

Firefox skyddar mot denna typ av extensions genom att låta användaren bekräfta installationen nästa gång webbläsaren startas - användaren får möjlighet att inaktivera (standardåtgärd) eller aktivera nya extensions.

Det är dock mycket enkelt att kringgå varningen från Firefox. Firefox lagrar information om alla anknytningar i en sqlite3.databas som heter "extensions.sqlite", som ligger i varje Firefox-profil. Den innehåller:
  • Namn, version, beskrivning, etc.
  • Aktiverad eller inaktiverad.
  • Om den installeras från Mozilla officiella webbplats eller ej.
När Firefox startar kontrollerar den listan över extensions under mot innehållet i extensions.sqlite. Om en extension finns på disken men inte finns med i databasen visas en varning för användaren. För att installera en extension utan varning kan oseriösa aktörer lägga till en post i extension-databasen och få Firefox att tro att en extention redan har godkänts av användaren.

Zscaler Threathslabs demonstrerar hur detta fungerar i videon nedan:


Många gratis-programvaror finansieras genom att verktygsfält, adware och spyware installeras som en del av installationen. Firefox ger användarna en chans att klart och tydligt bestämma om de vill installera dessa tillägg. Utan detta skydd kan många användare luras till att köra extensions utan att själva vara medvetna om det.

Skadliga webbläsartillägg är mycket svårare att upptäcka när de väl har installerats. Eftersom extensions är en del av webbläsaren kan deras processer inte skiljas från webbläsarens. Webbläsaren har tillgång till både Internet och filsystemet och tilläggen får samma tillgång utan att behöva lägga till startskript eller Windows-tjänster. Med denna metod kan tilläggen fånga upp inloggningar och lösenord mm. Antivirus-leverantörer kämpar med att upptäcka skadliga JavaScript och skadliga Firefox-tillägg men enligt VirusTotal klassas inte skadliga extensions som virus.


www.wecloud.se
info@wecloud.se