Rss

  • linkedin

Archives for : IT-säkerhet

Är 10 miljoner Firefoxanvändare nästa måltavla för hackers?

I skrivande stund används strax över 157 000 000 tillägg i Firefox, bara Adblock Plus står för cirka 10 470 000 olika installationer. Tilläggen hjälper oss att t.ex. skydda oss, ladda ner inbäddad information som t.ex. Flash-filmer eller debuggar webbsidor, möjligheterna är oändliga.

De flesta tillägg bygger på öppen källkod och vi har alla en teoretisk chans att granska koden men i praktiken ser aldrig detta. Många påstår att öppen källkod är mer säker av just den anledningen att koden kan granskas men är ingen garanti. Ett exempel på detta är IRC-servern UnrealIRCd som någon gång i november 2009 fick sin källkod modifierad med en trojan och som inte upptäcktes förrän 12 juni 2010.

De flesta tillägg är från början vanliga program som utför precis vad dem skall göra men det finns exempel på tillägg som redan från början utför saker dem inte skall göra som t.ex. Mozilla Sniffer. Detta tillägg stal användarnamn och lösenord som angetts i formulär och tillägget skickade automatiskt informationen vidare till en server.

Ett annat problem är buggar och en del buggar utgör en attackyta som hackers kan utnyttja och det exemplet är CoolPreviews. Detta tillägg hanterade inte vissa hyperlänkar korrekt om dem skrevs på ett speciellt sätt vilket innebar att det gick att skjuta in javascript som kördes på klienten och som då kunde ta över datorn.

Dessa två ovan är relativt vanliga exempel som dagligen dyker upp i olika former (virus/trojaner/sårbarheter) som attackerar redan befintliga datorer och installerade program men vad händer den dagen en utvecklare blir hackad och när denna hacker publicerar en uppdatering till låt säga Adblock Plus?

De flesta av oss tar utan vidare emot uppdateringar av våra tillägg utan att fungera en sekund, det är normalt. Vi valde vid första installationstillfället att lita på utvecklaren och vidare uppdateringar ser man endast som bonus, att programmet blir bättre med nya utökade funktioner.

Låt säga att Adblock Plus med sina 10 miljoner unika installationer blir föremål för en hacker precis som UnrealIRCd, det behöver inte ta 7 månader att upptäcka, det räcker med en dag, eller ett par timmar för att en enormt stor del av användarbasen har uppdaterat och fått sina datorer smittade. Låt säga att det är just användarnamn och lösenord som finns sparade i Firefox som är målet. Då är det inte bara Windows utan alla plattformar som kan köra Firefox som är såbara.

Detta gäller inte enbart Firefox, det gäller i princip alla mjukvaror som på ett eller annat sätt uppdaterar sig. Det ställer enorma krav på utvecklarna och dem som publicerar dessa uppdateringar att säkra sina system så ingen utifrån kan ta sig in och manipulera den data som sedan skjuts ut till klienterna. Självklart är vi själva ytterst ansvariga att se till att våra system är säkra men detta kommer att ställa till det ordentligt för någon dag sker ett misstag och då kommer vi få en överraskning vi helst hade varit utan.

— Johan Ryberg

Källa:
https://addons.mozilla.org/en-US/statistics/
http://forums.unrealircd.com/viewtopic.php?t=6562
http://blog.mozilla.com/addons/2010/07/13/add-on-security-announcement/