Дэн Стиллман (Dan Stillman), разработчик браузерного дополнения Zotero (https://www.zotero.org/), выступил (http://danstillman.com/2015/11/23/firefox-extension-scanning...) с критикой навязываемой проектом Mozilla обязательной проверке дополнений по цифровой подписи. Напомним, что под предлогом (https://www.opennet.ru/opennews/art.shtml?num=41655) борьбы с распространением вредоносных и шпионящих за пользователями дополнений, начиная с Firefox 43 Mozilla переходит (https://www.opennet.ru/opennews/art.shtml?num=42949) к схеме обязательной проверки дополнений по цифровой подписи.
Дэн Стиллман попытался доказать, что переход к использованию только подписанных дополнений приведёт лишь к сложностям для разработчиков, и никак не повлияет на безопасность, а быть может даже ухудшит ситуацию с распространением уязвимых дополнений. В частности, процесс верификации подразумевает обязательную загрузку всех дополнений, в том числе поставляемых через сторонние каналы распространения, на сайт Mozilla для прохождения автоматизированной или ручной проверки. Первая проблема в том, что в случае невозможности применить автоматизированную проверку ручная проверка занимает (https://blog.mozilla.org/addons/2015/11/04/add-ons-update-73/) в среднем семь недель. Возникновение подобных задержек не только затягивает поставку новых выпусков, но и мешает оперативной доставке обновлений с устранением уязвимостей и серьёзных ошибок.
Вторая проблема в том, что авторы вредоносных дополнений могут легко обмануть тесты автоматизированной системы проверки. Для демонстрации своего заявления Стиллман подготовил прототип вредоносного дополнения, которое благодаря применению нехитрых приёмов скрытия вредоносной активности, успешно прошло автоматизированную проверку и было заверено цифровой подписью Mozilla. При этом дополнение осуществляло перехват запросов к сайтам, открываемым через HTTPS и собирало данные о паролях вводимых в web-формы, после чего отправляло полученные сведения на внешний HTTP-сервер. Более того, успешно прошедшее тестирование дополнение позволяло запустить в системе произвольный процесс при открытии определённого URL или загрузить JavaScript-код с внешнего сервера и выполнить его с привилегиями браузера.
При попытке привлечь внимание к проблеме разработчиков из Mozilla, лидер команды Mozilla по взаимодействию с разработчиками дополнений, указал на то, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности, что позволит блокировать большинство вредоносных дополнений. Созданное демонстрационное дополнение было занесено в чёрный список, но никаких действий по блокированию показанных проблем предпринято не было - для повторного успешного тестирования и обхода чёрного списка потребовалось лишь поменять идентификатор дополнения.
Доводы Стиллмана также подтверждает недавно проведённое исследование (http://labs.detectify.com/post/133528218381/chrome-extension...) дополнений в каталоге приложений Chrome, показавшее неэффективность уже внедрённых в каталоге Chrome механизмов проверки дополнений и заверения по цифровой подписи. Исследование показало, что ряд популярных дополнений, насчитывающих сотни тысяч пользователей, нарушают требования по соблюдению приватности, отслеживают перемещения пользователя и передают полученную статистику вовне. При этом, важно то, что подобный сбор данных производится независимо от применения специальных дополнений для блокирования отслеживания перемещений и инкогнито-режимов.
URL: http://danstillman.com/2015/11/23/firefox-extension-scanning...
Новость: https://www.opennet.ru/opennews/art.shtml?num=43398