Neun der zehn beliebtesten Firefox-Erweiterungen enthalten Schwachstellen, die eine neue Angriffsmethode durch eine zusätzlich installierte Erweiterung ermöglichen. Diese kann im Huckpack-Verfahren Funktionen der häufig vorhandenen Erweiterungen für ihre bösartigen Zwecke nutzen. Das haben Sicherheitsforscher auf der Konferenz Black Hat Asia in Singapur enthüllt und eine Studie (PDF) dazu veröffentlicht.
Unter den zehn populärsten Add-ons, die Mozilla selbst auf seiner Webseite verfügbar macht, enthält demnach nur Adblock Plus keine solche Schwachstelle. In NoScript, Firebug, Greasemonkey, Video DownloadHelper und FlashGot Mass Downloader hingegen fanden sich Bugs, die die Ausführung bösartigen Codes durch ein weiteres gefährliches Add-on ermöglichen. Viele Erweiterungen erlauben es außerdem, Browser-Cookies zu entwenden, auf das Dateisystem eines Computers zuzugreifen oder Webseiten nach Wunsch eines Angreifers zu öffnen.
Da das alles durch die indirekte Nutzung vertrauenswürdiger Erweiterungen erfolgt, ist es umso schwieriger, auf das bösartige Add-on aufmerksam zu werden. Statt selbst den Besuch einer bösartig präparierten Website oder den Download von Malware zu veranlassen, kann das Add-on Schwachstellen in anderen Erweiterungen für seine Zwecke nutzen.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
„Angreifer können eine Erweiterung schreiben, die für jeden, der das Plug-in untersucht, harmlos aussieht“, zitiert Threatpost William Robertson, einen der vier Wissenschaftler, die die Schwachstelle aufdeckten. „Aber wenn sie einmal dem Firefox-Browser hinzugefügt ist, könnte die harmlos wirkende Erweiterung ganz einfach eine zweite Firefox-Erweiterung ausnutzen, um Malware auf den Rechner des Nutzers zu bringen.“ Als Proof-of-Concept-Code erstellten sie eine Firefox-Erweiterung mit rund 50 Programmzeilen, die bei Mozillas Überprüfung nicht als bösartig erkannt wurde.
Eine der Hürden für potentielle Angreifer ist aber natürlich, das der Nutzer diese zusätzliche Erweiterung zuerst installieren muss. Robertson führte weiter aus, dass die Mozilla Foundation schon „eine Zeitlang“ über die Erkenntnisse der Northeastern-University-Forscher informiert und seither besonders wachsam ist, wenn es um die Prüfung neu eingereichter Add-ons für den Browser geht.
Mozilla wiederum verwies auf neue Browser-APIs für WebExtensions, die ab sofort für Firefox verfügbar sind: „Sie sind grundsätzlich sicherer als herkömmliche Add-ons und nicht anfällig für die besondere Attacke, die bei der Präsentation auf Black Hat Asia beschrieben wurde. Als Teil unserer Initiative Electrolysis – unser Projekt für die Einführung einer Multi-Prozess-Architektur für Firefox später in diesem Jahr – werden wir mit dem Sandboxing von Firefox-Erweiterungen beginnen, damit sie keinen Programmcode mehr teilen können.“
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.