[Atualizado]: em 13/04/2016, com declaração do vice-presidente de produto do Firefox, Nick Nguyen – veja abaixo.
——-
O Mozilla Firefox é tido como um navegador bastante seguro. Esta característica ajuda a colocá-lo, obviamente, como um dos mais utilizados na atualidade. Além disso, ele conta com uma enorme quantidade de extensões, capazes de tornar sua utilização muito melhor ao mesmo tempo em que expandem sua gama de funcionalidades.
Infelizmente, justamente as extensões do browser podem colocar milhões de usuários em risco. Um problema com o isolamento dos recursos de diversos add-ons, no momento da execução, seria o responsável pelas brechas, segundo um grupo de pesquisadores.
Extensões maliciosas estariam se aproveitando de bugs e brechas de segurança em outras extensões (não maliciosas) instaladas pelo usuário. Vulnerabilidades encontradas em algumas das extensões mais populares do Firefox poderiam ser assim exploradas e reutilizadas pelas extensões maliciosas, sendo que a atuação destas poderia até mesmo passar despercebida.
Trocando em miúdos, o código malicioso “invocaria” recursos de outras extensões, não maliciosas porém contendo vulnerabilidades. Estas seriam então exploradas, utilizadas, para as tais finalidades criminosas. As falhas e brechas nelas existentes seriam utilizadas para finalidades escusas (por exemplo: redirecionar os usuários desavisados para sites de phishing).
Os pesquisadores realizaram testes com as 10 extensões mais populares do Firefox, e apenas a Adblock Plus se mostrou livre de falhas que permitam os ataques de reutilização de vulnerabilidades. Dentre as extensões problemáticas teríamos, por exemplo, NoScript, Firebug, Greasemonkey, DownThemAll e Video DownloadHelper.
Ainda segundo o grupo de pesquisadores, durante a conferência de segurança Black Hat, em Singapura, “extensões maliciosas que utilizam esta técnica seriam significantemente mais difíceis de serem detectadas através das atuais técnicas estáticas ou dinâmicas de análise“.
O vice-presidente de produto do Firefox, Nick Nguyen, entretanto, mostrando-se preocupado com a divulgação e com o hipotético impacto das vulnerabilidades, deu a seguinte declaração:
“A forma como os add-ons são implementados no Firefox hoje permite o cenário hipotético e apresentado no evento Black Hat Ásia. O método descrito baseia-se em um popular add-on vulnerável, e que permite a instalação de um outro add-on que se aproveita dessa vulnerabilidade para ser instalado.
Devido a riscos como este existirem, estamos evoluindo tanto o nosso produto quanto nossa plataforma de extensões para promover mais segurança. O novo conjunto de APIs de extensão do navegador, que compõem o WebExtensions e que estão disponíveis no Firefox hoje, são inerentemente mais seguros do que os add-ons tradicionais, e não são vulneráveis ao ataque descrito na apresentação do Black Hat Asia.
Como parte de nossa iniciativa de eletrólise – projeto que visa introduzir a arquitetura multiprocessamento no Firefox ainda este ano – vamos começar a colocar as extensões do Firefox em áreas isoladas (sandbox), assim elas não poderão compartilhar códigos.“
