Un nuovo vettore di attacco identificato in Firefox è oggetto di uno studio recentemente presentato durante la conferenza di sicurezza Black Hat Asia 2016, una problematica corroborata dalle ammissioni di Mozilla ma contestata da uno degli sviluppatori chiamati direttamente in causa dalla ricerca.
Stando a quanto sostengono gli autori dello studio, alcune delle estensioni per Firefox più popolari sono vulnerabili all’abuso da parte di un’estensione terza, apparentemente “pulita” ma potenzialmente in grado di accedere ai file, reindirizzare la connessione dell’utente verso siti truffaldini e altro ancora.
I ricercatori sono riusciti a sfruttare la vulnerabilità servendosi di add-on del calibro di NoScript (2,5 milioni di installazioni attive), GreaseMonkey (1,5 milioni), e Video DownloadHelper (6,5 milioni), dimostrando dal vivo che la loro estensione di test (“ValidateThisWebsite”) conteneva una quantità minima di codice (50 linee) ed era in grado di superare senza fallo il processo di approvazione da parte di Mozilla.
La fondazione americana ha commentato la nuova ricerca ammettendo che il problema esiste con l’attuale modello degli add-on per Firefox, perché i componenti esterni non girano in sandbox. Con l’adozione obbligatoria di WebExtensions e del design restrittivo degli add-on, promette Mozilla, la sicurezza di browser e componenti aggiuntivi migliorerà sensibilmente.
L’abbandono del modello classico di add-on XUL e XPCOM è un evento destinato a cambiare in maniera radicale la tecnologia e l’utilizzabilità di Firefox. Anche la nuova ricerca, accusa lo sviluppatore di NoScript , è semplice FUD e sensazionalismo che non prende in considerazione i rischi di sicurezza comunque esistenti ance in ambito WebExtensions.
Alfonso Maruccia