افزونه‌های فایرفاکس که به بدافزارها پناه می‌دهند

[farnaz]

اگر در گذشته به شما می‌گفتیم رخنه یا آسیب‌پذیری در مرورگری شناسایی شده است و برای رفع آن باید وصله مورد نظر را دریافت کرده و آن‌را نصب کنید، اکنون به شما می‌گوییم، برای خلاص شدن از دست بدافزارها باید تعدادی از افزونه‌های مرورگر فایرفاکس خود را حذف کنید.

در کنفرانس هکرهای کلاه سیاه آسیا که چند وقت پیش در سنگاپور برگزار شد، عنوان گردید که افزونه‌های محبوب فایرفاکس که میلیون‌ها کاربر در سراسر جهان از آن استفاده می‌کنند، این قابلیت را در اختیار هکرها قرار می‌دهند تا در سکوت کامل سیستم قربانیان را به مخاطره انداخته و آزمون‌های امنیتی خودکار و دستی موزیلا و سندباکس این مرورگر را دور زده و یک درب‌پشتی روی سیستم قربانی باز کنند.

هکرها این توانایی را دارند تا از نقاط ضعفی که در ساختار افزونه‌ها قرار دارد استفاده کرده و به این شکل فعالیت مخرب خود را در پس‌زمینه افزونه‌های قانونی پنهان سازند. به‌طور مثال، هکرها این توانایی را دارند تا یک افزونه محبوب که در برگیرنده یک آسیب‌پذیری است را رونویسی کرده تا در حملات به شیوه مؤثری از آن استفاده کرده و کدهای مخرب را درون آن وارد کنند. کارشناسان امنیتی در این ارتباط گفته‌اند: «افزونه‌ها با دسترسی سطح بالا اجرا می‌شوند، در نتیجه به اطلاعات حساس دسترسی دارند. همین موضوع باعث می‌شود یک افزونه مخرب به داده‌های شخصی مرورگر کاربر، گذرواژه و منابع حساس سیستم دسترسی پیدا کرده و این اطلاعات را سرقت کنند.»

در کنفرانس امسال اعلام شد که نزدیک به 255 آسیب‌پذیری در افزونه‌های مختلف شناسایی شده است. جالب آن‌که افزونه‌هایی همچون NoScript با 2.5 میلیون کاربر و DownloadHelper با 6.5 میلیون کاربر و GreaseMonkey با 1.5 میلیون کاربر در این فهرست قرار گرفته‌اند. اما افزونه Adblock Pluse با 22 میلیون کاربر دارای هیچ‌ آسیب‌پذیری شناخته شده‌ای نبوده است. افزونه‌هایی که به آسیب‌پذیری‌ها آلوده بوده‌اند به هکرها این توانایی را می‌دهند تا کدهای مخرب خود را روی سیستم کاربران اجرا کرده، رخدادهای سیستمی را ثبت کرده، به شبکه متصل شده و قابلیت‌های مضاعف‌تری همچون تزریق بدافزارهای دیگر یا پیاده‌سازی شبکه‌ای از کامپیوترهای مطیع (Bot) را به وجود آوردند. پروفسور Ahmet Buyukkayhan از دانشگاه بوستون و پروفسور ویلیام رابرتسون از دانشگاه Northeastern به تشریح این شیوه مورد استفاده هکرها پرداخته‌اند. آن‌ها از یک چارچوب Crossfire برای شناسایی افزونه‌های آسیب‌پذیر استفاده کرده‌اند. تصویر زیر چهارچوب طراحی شده توسط این دو کارشناس را نشان می‌دهد.

رابرتسون در این ارتباط گفته است: «همه ما به تولیدکنندگان مرورگرها اعتماد داریم. اما اگر کمی درباره ساختار افزونه‌ها فکر کنید، متعجب خواهید شد، چگونه افزونه‌ها این پتانسیل را دارند تا یک درب پشتی برای انجام فعالیت‌های مخرب در اختیار هکرها قرار دهند. به‌طوری که کدهای خود را در سطحی با مجوزهای بالا اجرا کنند. به‌طور معمول موزیلا از مکانیزم ترکیب تحلیل‌های خودکار و دستی و همچنین امضاء افزونه‌ها برای بررسی مخرب بودن یا ایمن بودن آن‌ها استفاده می‌کند، اما اگر این ساز و کار به درستی کار می‌کرد، مشکل را به ما نشان می‌داد. در حالی که در عمل شاهد چنین چیزی نیستیم. همین موضوع باعث می‌شود به توسعه دهندگان افزونه‌ها اعتماد نکنیم.» این دو کارشناس امنیتی در مدل مفهومی که برای این منظور به مخاطبان کنفرانس نشان دادند، موفق شدند یک نرم‌افزار مخرب را بارگذاری کرده و افزونه خود را با موفقیت در فروشگاه فایرفاکس قرار دهند. این بدافزار حتی موفق شد از سد تحلیل‌های پیشرفته سیستمی موزیلا به نام "بررسی کامل" با موفقیت عبور کند.  این افزونه که ValidateThiswebsite نام دارد تنها از پنجاه خط کد استفاده می‌کرد و هیچ کد پیچیده‌ای درون آن قرار نداشت.

رابرتسون در ادامه صحبت‌های خود گفته است: «هر چه افزونه‌ها به آسیب‌پذیری‌های پیچیده‌ای آلوده باشند، گسترده آلوده‌سازی آن‌ها بیشتر خواهد بود. مکانیزم بررسی کامل، بالاترین سطح امنیتی است که موزیلا از آن استفاده می‌کند.» افشای این الگوی حمله ماحصل تحقیقی دو ساله است. در مقطع فعلی موزیلا فهرستی از افزونه‌های مخرب که در بر گیرنده 16 آسیب‌پذیری هستند را در فهرست سیاه قرار داده است. اما با وجود این گزارش به احتمال زیاد این فهرست الگوهای دیگری که مهاجمان از آن استفاده می‌کنند را شامل خواهد شد. تصویر زیر الگویی که حملات بر پایه آن انجام می‌شوند، را نشان می‌دهد.

همین موضوع باعث خواهد شد بر تعداد افزونه‌های آسیب‌پذیر افزوده شود. نیک نکوین مدیر محصول فایرفاکس موزیلا در این ارتباط گفته است: «طراحان از آگوست تا 18 ماه دیگر فرصت دارند به الگوی جدید webextensions مهاجرت کنند. با توجه به مخاطراتی این چنینی، ما هر دو بخش هسته محصول و پلتفرم افزونه‌ها را برای پیاده‌سازی امنیت بیشتر تکامل خواهیم داد.» مجموعه توابع ویژه افزونه‌های مرورگری که برای ساخت افزونه‌هایی مبتنی بر الگوی WebExtensions مورد استفاده قرار می‌گیرد، در اختیار توسعه‌دهندگان قرار گرفته است. توابعی که به صورت داخلی باعث افزایش امنیت افزونه‌های سنتی شده و از افزونه‌ها در برابر حملات خاصی که در کنفرانس کلاه سیاه‌های آسیا به آن اشاره گردید، محافظت به عمل می‌آورد. موزیلا در راستای امنیت بیشتر مرورگر خود در نظر دارد معماری چند پردازشی را به فایرفاکس و سندباکس  بیافزاید.