Firefox es uno de los navegadores más populares, pero ello no quiere decir que sus extensiones tengan la misma calidad que el software desarrollado por Mozilla. Según un estudio realizado en una conferencia de seguridad de Singapur, 9 de las 10 extensiones más populares para Firefox son vulnerables a la inyección de código malicioso, por lo que podrían potencialmente facilitar el acceso a nuestros datos personales.
Existen muchos navegadores, pero Firefox siempre se ha llevado méritos por la protección de la privacidad del usuario. No obstante, esta vez se le ha escapado de las manos algo que tiene más que ver con su tienda de aplicaciones que con el propio navegador: las extensiones de Firefox podrían contener malware.
Las extensiones de Firefox son vulnerables
🎮 ¡Domina cada partida con los nuevos routers gaming Wi-Fi 7 de TP-Link!
La nueva gama Archer GE230, GE550 y GE800: potencia, velocidad y estabilidad para los gamers más exigentes. ⚡️
🚀 Wi-Fi 7 de última generación para un rendimiento extremo y mínima latencia, incluso en las batallas online más intensas.
🎯 Panel de juegos con monitoreo en tiempo real: controla el ping, el ancho de banda y el tráfico a través de la App TP-Link Tether o la interfaz web.
🕹️ Prioriza el tráfico de tus juegos (QoS) y olvídate del lag: reduce la latencia interna hasta un 54 % (DPI) y la externa hasta un 35 % (WTFast GPN) para una conexión siempre fluida y estable.
🔗 Explora la nueva gama Routers Gaming de TP-Link
🟢 Ofrecido por TP-Link España
Según el estudio realizado, 9 de las 10 extensiones más populares en la tienda de Firefox son vulnerables a este ataque. Algunas tan populares como Firebug o NoScript entre otras, podrían abrir el camino hacia nuestros datos, permitiendo el acceso remoto.
El potencial atacante debería instalar primero una extensión con código malicioso en su interior. A través de esta extensión y dependiendo de las otras extensiones instaladas y afectadas por la vulnerabilidad, podría elevar el nivel de privilegios hasta alcanzar su objetivo, por lo que el ataque depende de varios factores que deben cumplirse.
Como podemos ver en la figura de arriba, las extensiones afectadas dentro del top 10 de Firefox son las siguientes:
- Video DownloadHelper
- Firebug
- NoScript
- DownThemAll!
- Greasemonkey
- Web of Trust
- Flash Video Down
- FlashGot Mass Down
- Down. YouTube Videos
Los investigadores han desarrollado una extensión, con el fin de demostrar la gravedad del problema, que contiene tan solo 50 líneas de código y que ha superado el filtro de Mozilla para añadirla a la tienda de aplicaciones.
A Firefox se le presenta de nuevo una barrera que debe superar, aunque estamos seguros de que ya están trabajando en ello. De momento la mejor opción es no instalar ninguna extensión desde orígenes desconocidos.
Actualización (8 de abril de 2016)
Desde Mozilla han declarado lo siguiente:
“La forma en la que estos complementos se implementan hoy en Firefox permite el hipotético escenario presentado en Black Hat Asia. Este tipo de peligros existe, y por ello estamos trabajando en mejorar la seguridad tanto de nuestro producto principal como de nuestra plataforma de extensiones”.
¿Qué opinas de esta nueva vulnerabilidad en las extensiones de Mozilla?
Vía: Buyukkayhan
- Ver Comentarios