Mozilla запрещает 23 отслеживающих расширения Firefox

Mozilla удалила 23 расширения Firefox с официального сайта Firefox Addons Mozilla AMO и браузеров, в которых были установлены расширения сегодня.

Запрет затрагивает 23 расширения для Firefox, которые установили более 500 000 пользователей браузера. В список входит печально известное расширение Web Security, которое Mozilla отмечена как «отличное» расширение конфиденциальности в сообщении блога на официальном сайте перед удалением любой ссылки без упоминания факта в сообщении блога.

В то время у Web Security было 220 000 пользователей; к другим запрещенным расширениям относятся загрузчик видео Facebook, блокировщик всплывающих окон, простой поиск, автоматическое уничтожение файлов cookie или Google NoTrack.

Отчет об ошибке на официальном сайте отслеживания ошибок Bugzilla, поддерживаемом Mozilla, перечислены все затронутые идентификаторы расширений.

Инженер Mozilla Роб Ву проанализировал расширение Web Security после того, как оно появилось в новостях. Он принял решение искать шаблоны веб-безопасности во всех общедоступных расширениях Firefox и обнаружил расширения, в которых использовался аналогичный код отслеживания. Фактически, все расширения были обнаружены для отправки данных на тот же сервер, к которому подключена Web Security.

Все расширения собирали пользовательские данные и отправляли их на удаленные серверы согласно Mozilla.

Ву сообщил о своих результатах в Mozilla, которая добавила идентификаторы расширения в черный список, который поддерживает организация, и удалила надстройки с веб-сайта Mozilla.

Расширения, попадающие в черный список, автоматически отключаются, если они установлены в Firefox и больше не могут использоваться. Черный список надстроек Firefox — это публичный список что любой может получить доступ.

В черном списке есть три записи на 16 августа, одна из которых касается веб-безопасности и других надстроек.

Веб-безопасность и другие — отправка пользовательских данных на удаленные серверы без необходимости и возможность удаленного выполнения кода. Подозрительная активность учетной записи для нескольких учетных записей в AMO.

Mozilla опубликовала объяснение, почему было принято решение заблокировать расширения для Firefox в Bugzilla:

• Расширения отправили на удаленные серверы больше данных, чем казалось необходимым.
• Некоторые данные отправляются через небезопасные соединения.
• Сбор и отправка данных не разглашаются и не раскрываются четко, за исключением того, что они раскрываются в большой политике конфиденциальности.
• Возможность удаленного выполнения кода встроена в расширения, а частичная обфускация используется для усложнения идентификации.
• Один и тот же код существует в нескольких надстройках с разными функциями и разными авторами. Похоже, что за всеми этими расширениями стоит один и тот же разработчик или группа.

Вывод

Удаление расширений из Mozilla AMO и использование функции черного списка для их отключения в установках Firefox было правильным шагом Mozilla.

Однако возникает вопрос, почему эти расширения не были заблокированы для размещения на первом месте. Mozilla изменила процесс проверки Firefox WebExtensions в 2017 г. от ручных (человеческих) обзоров до автоматических (компьютерных). Человеческие обзоры по-прежнему используются в Mozilla AMO, но расширения могут появляться в Магазине, когда они проходят автоматические проверки.

Хотя это сокращает время, необходимое для публикации новых расширений и обновлений расширений, это также означает вероятность того, что вредоносные, нарушающие конфиденциальность или другие проблемные расширения попадут в Магазин.

Mozilla уже приходилось вмешиваться несколько раз в прошлом, например, когда несколько расширений для майнинга криптовалют были развязаны. Система не так плоха, как Расширения Google для Chrome, но это далеко не совсем безопасно. (через Пищевой компьютер)

Теперь ваша очередь : Что вы думаете об этом?