На конференции безопасности Black Hat Asia 2016 в Сингапуре два исследователя из США рассказали, как популярные расширения браузера Firefox могут быть использованы вредоносными расширениями для атак на пользователей. В последние два года эти специалисты создавали подобные вредоносные расширения, работающие на основе механизма «повторного использования расширений» (extension reuse).

Все обращения расширений в Firefox выполняются с повышенными привилегиями, что открывает перед злоумышленниками обширные возможности. Одно из расширений оказалось способно обойти процесс обзора со стороны Mozilla и попасть в магазин. Расширение не производит никаких обращений к наиболее чувствительным частям браузера Firefox, почему его и не видят ни автоматические средства анализа, ни при ручном процессе обзора. Исследователи смогли воспользоваться популярными расширениями GreaseMonkey (1,5 млн. активных установок), Video DownloadHelper (6,5 млн. активных установок) и NoScript (2,5 млн.).

Для эксперимента исследователи вручили Mozilla на осмотр безвредное расширение, которое задействует механизм повторного использования. Тестовое расширение ValidateThisWebsite содержит всего 50 строк кода и было одобрено сотрудниками Mozilla.

После исследователи показали персоналу Mozilla метод проведения атаки и исходный код фреймворка Crossfire, который поможет обнаруживать атаки подобного типа.