Alessandro Del Rosso

Mozilla alle prese con l'add-on spione

Ha eliminato dal sito degli add-on di Firefox un'estensione appositamente progettata per rubare le password agli utenti del browser. Questo componente, indicato come sperimentale, è rimasto online per oltre un mese

Roma - Mozilla ha fatto sapere di aver cancellato dalla galleria degli add-on di Firefox due estensioni che, in entrambi i casi, costituivano una minaccia per gli utenti del famoso browser open source.

L'incidente più serio è senza dubbio rappresentato da Mozilla Sniffer, un'estensione capace di intercettare le credenziali di accesso ai siti web e di trasmetterle ad una macchina remota. Questo add-on è stato caricato su addons.mozilla.org il 6 giugno scorso, ed è stato eliminato dal repository di Mozilla lo scorso 12 luglio: questo significa che il suo autore ha avuto a disposizione più di un mese di tempo per raccogliere password e altri eventuali dati sensibili. Un arco di tempo durante il quale, secondo Mozilla, l'estensione è stata scaricata circa 1800 volte ed utilizzata quotidianamente da 334 utenti.

Mozilla ha sottolineato come Mozilla Sniffer si trovasse in stato sperimentale e, per tale ragione, non sia stato manualmente controllato dal suo staff. L'organizzazione ha altresì spiegato che, al momento del download, tutti gli add-on che si trovano in questo stato avvisano l'utente dei potenziali rischi per la sicurezza. C'è però chi ritiene questa una giustificazione un po' debole rispetto al fatto che un keylogger sia rimasto sul portale ufficiale degli add-on di Firefox per oltre un mese.
La mamma di Firefox ha detto di aver già inviato delle notifiche a tutti quelli che hanno installato l'add-on incriminato, raccomandando loro di eliminare quanto prima il componente e di cambiare tutte le password utilizzate nel frattempo sul Web.

Mozilla ha inoltre cancellato dal suo portale la versione 3.0.1 di CoolPreviews, che a suo dire contiene una grave vulnerabilità di sicurezza. Gli utenti possono già installare una versione più recente in cui il bug è stato corretto.

Alessandro Del Rosso
21 Commenti alla Notizia Mozilla alle prese con l'add-on spione
Ordina
  • e meno male che l'open source doveva essere sicuro... 'sta fava!
    non+autenticato
  • perlomeno non lo paghi, pagare un programma per poi avere tante falle quanto un prodotto gratuito non è un gran ché intelligente.
    non+autenticato
  • pensate un pò se questo tipo di sniffer lo avrebbe anche qualche giochetto caricato nei repository ubuntu.

    O volete dirmi che voi controllate tutti i sorgenti prima di utilizzare un gioco?

    Qui sta di fatto che la sicurezza la fa chi usa il computer.... e non a chi ci si affida.
    non+autenticato
  • ...l'importante è ammetterlo e correre ai ripari evitando di incolpare l'utente di non saper tenere il telefono nella maniera corretta...A bocca aperta si scherza, eh!!!A bocca aperta non trolliamo!!!
    non+autenticato
  • Bhe, considerando che essendo "sperimentale" sono in pochi a scaricarla, caso mai al cosa grave è il tempo in cui l'autore di tale estensione malevole, abbia avuto per racimolare dati vari.
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > Bhe, considerando che essendo "sperimentale" sono
    > in pochi a scaricarla, caso mai al cosa grave è
    > il tempo in cui l'autore di tale estensione
    > malevole, abbia avuto per racimolare dati
    > vari.

    Starò attento in futuro nello scaricare addon sperimentali e magari starò attento a quando sono stati inseriti.
  • ma quale sbaglio? l'extention era sperimentale
    tutti posso fare e pubblicare un extention, voglio un bel bottone rosso grande meta schermo su ogni pagina che visito? faccio un extention e la pubblico .. finchè non sarà approvata e diventerà ufficiale, tutti possono scaricarla e installarla, con un 2 o 3 conferme in +

    ora che colpa ne ha mozilla se qualcuno pubblica virus? è lo stesso discorso di youtube, loro controllano quello che possono, e in caso di segnalazioni rimuovono

    inoltre una volta che si sono accorti dello sniffapassword, sono stati in grado di ottenere l'elenco completo di chi e quante volte l'aveva usato. e hanno avvisato singolarmente gli utenti!
    (non che ci volesse tanto ... all'avvio firefox controlla tutte le estenzioni una per una .. per vedere se ci sono aggiornamenti, tenendo traccia di tutte le cose installate si riesce benissimo ad identificare gli utenti)



    mi sembra che il comportamento di mozilla sia ineccepibile!

    casomai questo incidente ... dovrebbe mettere una pulce all'orecchio agli sviluppatori, visto che sono anni che si parla di integrare le pwd con il gestore pwd del sistema kdekeyring gnomequalcosa o gestione password di rete di window che sia
    non+autenticato
  • Secondo questo ragionamento Microsoft non dovrebbe avere nessuna colpa per i virus che vengono creati per i suoi OS... invece la colpa ce l'ha eccome, essendo OS mal progettati e mal scritti e quindi intrinsecamente insicuri!

    Stesso ragionamento vale ovviamente per firefox...
  • - Scritto da: giacomololo

    > Stesso ragionamento vale ovviamente per firefox...

    Ovviamente un corno.
  • bhe, forse per qualcuno non è così ovvio, ma è cosìA bocca aperta
  • - Scritto da: Sandro kensan
    > - Scritto da: giacomololo
    >
    > > Stesso ragionamento vale ovviamente per
    > firefox...
    >
    > Ovviamente un corno.

    Un corno un corno!
    Due pesi due misure vero?

    Il modello di AddOn adottato da Firefox, come ho già avuto modo di far notare in altre occasioni, fa pena!
    E' tale e quale, quanto a pericolosità, agli schifosissimi ActiveX di Explorer nè più, nè meno! Al di là di un warning che sicurezza da all'utente? NESSUNA. ZERO.
    In questo caso addirittura era sul sito ufficiale Mozilla quindi ancora più pericoloso. Se non altro installando un componente ActiveX da un sito ufficiale Ms puoi stare tranquillo che non contiene spyware! Schifo per schifo io mi tengo stretto il mitico Opera che non ha bisogno di alcuna estensione.
  • devo darti ragione, per quanto io sia un fan di firefox....in ogni caso il problema è strutturale e sta nella vecchia mentalità degli hacker del MIT, ovvero il software non ha barriere, non pone cancelli tra sè e gli altri e tutti possono leggere tutto

    bisogna far entrare il concetto di security by isolation in programmazione, altrimenti il futuro sarà nero

    windows è l'esempio più eclatante di tale assurda scuola di pensiero....un sistema dove un software s'installa e basta, senza bisogno di identificarsi, di dire chi è, di dichiarare le proprie attività...usando le capabilities si potrebbe imporre al software di avere un file manifest con sè, dove dichiara quali risorse andrà ad usare, quali e quanti file, in modo che il sistema possa limitare l'accesso al sistema in maniera capillare
  • - Scritto da: pabloski
    >
    > bisogna far entrare il concetto di security by
    > isolation in programmazione, altrimenti il futuro
    > sarà
    > nero
    >

    Come non quotarti.
    Ma se questo concetto non entra in prodotti open di rilievo come Firefox figuriamoci in quelli closed! Si ammazzerebbe un mercato troppo ampio (antivirus, assistenza, ....) quindi è una lotta persa in partenza.
  • - Scritto da: Uau (TM)
    > > bisogna far entrare il concetto di security by
    > > isolation in programmazione, altrimenti il
    > futuro
    > > sarà
    > > nero
    > >
    >
    > Come non quotarti.
    > Ma se questo concetto non entra in prodotti open
    > di rilievo come Firefox figuriamoci in quelli
    > closed! Si ammazzerebbe un mercato troppo ampio
    > (antivirus, assistenza, ....) quindi è una lotta
    > persa in
    > partenza.

    Bella mer*a, se permetti.
    il mercato degli antivirus e dell'assistenza? Vadano pure in malora!
    non+autenticato
  • Si ma chi l'ha uppato l'add-on?
    non+autenticato
  • qualche hacker russo che ha usato come proxy il pc windows di qualche utonto

    inutile dire che indagini non porteranno a niente, tranne che ad inviduare il computer del povero utonto botnettatoA bocca aperta