Black Hat Asia何百万人ものアクティブ ユーザーを抱える最も人気のある Firefox 拡張機能が、密かにマシンを侵害し、Mozilla の自動および人間によるセキュリティ テストを通過する可能性のある攻撃に対して無防備です。
拡張機能再利用攻撃は、Firefox 拡張機能の構造の弱点を悪用し、悪意のあるアクティビティを正当な機能の背後に隠蔽します。
ウィリアム・ロバートソン教授(左)とアフメット・ブユッカイハン博士
たとえば、攻撃者は、人気があるが脆弱な拡張機能を複製して攻撃を再利用し、独自のマシン攻撃機能を作成する可能性があります。
研究者らは、拡張機能は昇格された権限で実行され、情報にアクセスするため、悪意のある拡張機能によってプライベートな閲覧データ、パスワード、機密性の高いシステムリソースが盗まれる可能性があると説明した。
発見された255件の再利用エクスプロイトに脆弱な拡張機能には、ユーザー数250万人のNoScript、ユーザー数650万人のVideo DownloadHelper、ユーザー数150万人のGreaseMonkeyなどが含まれています。ユーザー数2,200万人のAdblock Plusは影響を受けませんでした。
拡張機能の再利用拡張機能により、コード実行の脆弱性、イベント リスナーの登録、ネットワーク アクセスなど、攻撃者にとってさまざまな機会が与えられました。
ノースイースタン大学の博士課程の学生であるアフメット・ブユッカイハン氏と同大学のウィリアム・ロバートソン教授は、シンガポールで開催されたハッキングイベント「ブラックハットアジア」でこの攻撃について発表し、拡張機能の再利用の脆弱性がある拡張機能を特定するために使用した「クロスファイア」と呼ばれるフレームワークを公開した。
「我々はブラウザベンダーに大きな信頼を置いていますが、よく考えてみれば、拡張機能フレームワークは実際には、信頼できない可能性のある第三者が高度な権限のあるコンテキストでコードを実行するためのバックドアなのです」とロバートソン氏は言う。
「拡張機能の作者を本当に信頼すべきではありません。
「自動分析、手動レビュー、拡張機能の署名の組み合わせ、つまり Firefox の拡張機能のセキュリティの基盤となる審査モデルでは、何か問題が発生した場合、すべてが台無しになります。」
そして事態は悪化した。二人は、悪意はあるものの最終的には無害な概念実証拡張機能をFirefoxの拡張機能ストアにアップロードすることに成功した。しかも、要求されたより厳格な「完全レビュー」による分析も通過したのだ。「ValidateThisWebsite」と名付けられたこの拡張機能には50行のコードが含まれており、難読化は施されていなかった。
「脆弱な拡張機能の力が強ければ強いほど、悪質な拡張機能が動作しやすくなります」と Buyukkayhan 氏は言います。
「完全なレビューは、Mozilla が持つセキュリティの最高レベルです。」
この概念実証は、拡張機能の再利用によるエクスプロイトの開発を大幅に高速化するテンプレート機能も備えた Crossfire で行われました。
このフレームワークは、徹底的な調査ブリーフィングの一環として Mozilla に提供され、その結果、Firefox のセキュリティ専門家は拡張機能のレビューにおいてさらに警戒を強めることを約束しました。
2年間にわたる綿密な調査の成果である新たな攻撃ベクトルの公開は、Mozillaが拡張機能をより安全なGoogle Chromeモデルにモデル化することを決定した5ヶ月前に行われました。開発者には、脆弱なレガシーアプリが削除される前に、8月から18ヶ月以内にWebExtensionsの強化された分離モデルに移行する必要があります。
Mozilla はすでに 161 個のブラックリスト項目を含む悪質な拡張機能のリストを管理していますが、攻撃者が新しい拡張機能再利用モデルを悪用した場合、この数はさらに増える可能性があります。
Firefox のプロダクト担当者 Nick Nguyen 氏は、新しい WebExtensions は影響を受けないと述べています。
「現在 Firefox にアドオンが実装されている方法は、Black Hat Asia で仮説が立てられ、発表されたシナリオを可能にします」と Nguyen 氏は言います。
「説明されている方法は、脆弱性のある人気のアドオンをインストールし、その脆弱性を悪用するアドオンもインストールすることを前提としています。
「このようなリスクが存在するため、当社はコア製品と拡張プラットフォームの両方を進化させ、より強力なセキュリティを組み込んでいます。
現在 Firefox で利用可能な WebExtensions を構成する新しいブラウザ拡張 API セットは、従来のアドオンよりも本質的に安全であり、Black Hat Asia でのプレゼンテーションで概説された特定の攻撃に対して脆弱ではありません。」
Firefox は今年後半に Electrolysis イニシアチブの一環として、Firefox とサンドボックス拡張機能にマルチプロセス アーキテクチャを導入し、コードを共有できないようにする予定です。®
