Il fut un temps où je m’étais posé la question de savoir s’il était possible de diffuser une extension vérolée pour Firefox ou Thunderbird sur le site addons.mozilla.org, et bien apparemment oui…
En effet, Mozilla vient d’annoncer sur son security blog que deux extensions malicieuses ont été découvertes dans la section expérimentale. Les extensions malicieuses n’affectent que les systèmes Windows, il s’agit probablement d’un binaire embarqué qui est exécuté par l’extension… Rien de bien révolutionnaire.
Il faut savoir qu’une extension malicieuse peut être entièrement faite en JavaScript et être totalement portable. Les composants XPCom apportent des fonctions au langage JavaScript qui permettent de lancer des processus, sniffer les connexions HTTPS en clair, jouer avec les sockets (Proxy, UPNP…), récupérer les mots de passe stockés, accéder au système de fichiers, tout en bypassant le firewall…
D’après les dires du security blog, Mozilla utilise plusieurs scanners anti-malware pour éviter ce genre de désagrément :
These were not originally detected with the anti-malware scanning tools that we have been using.
Cependant, j’aimerai attirer votre attention sur un détail, JavaScript met à notre disposition de nombreuses possibilités pour obfuscer son code. Ces techniques sont couramment utiliser dans les attaques Web (iframe). Par exemple, la fonction eval() permet d’interpréter le code JavaScript passé en paramètre à cette fonction. Cela rend alors totalement useless les recherches par signature.
// var signature = "something_bad();"; var signature_crypt = "XAQDFQDFQSDFQSDF"; eval(decrypt(signature_crypt));
Bien sûr, il est possible que les supers scanners de Mozilla gère ce type d’obfuscation, mais en attendant, ils viennent de laisser passer deux malwares, et peut-être beaucoup plus… FEAR.
Salut Pierre,
Malheureusement quand on atteint la popularité de firefox il devient de plus en plus difficile de vérifier toutes les extensions.
D’autant plus difficile si l’extension inclue du binaire sans fournir le code source
.
Comme toujours prudence est adage en sécurité? :p.
En tous cas merci pour l’article, toujours très instructif ^^.
À la prochaine,
Marc.
There was an addon a few years ago, i think it was 2005-2006 that was able to do OCR for ebay security captchas you see for example while messaging other members. But it DID steal the login info from the users! Only sent passwords from administrative ebay users. The « dev » was sure some ebay admin will try this anticaptcha soon.
It ever existed and will in future. Just more secure over time. Never perfect.
Yes, indeed malware addons are not new, I wasn’t aware of this one for ebay. But that’s the first time I see Mozilla acknowledge addons.mozilla.org hosted and published malicious extensions.