FireFox, problema di vulnerabilità condivisibili tra le estensioni

NoScript, Firebug ed altre famose estensioni di Firefox possono mettere gli utenti finali a rischio di un nuovo tipo di attacco che consente l'esecuzione di codice dannoso e la sottrazione furtiva di dati sensibili. I ricercatori di sicurezza Ahmet Buyukkayhan e William Robertson hanno presentato il problema in occasione del Black Hat Asia, svoltosi dal 20 marzo all'1 aprile scorsi a Singapore.

Si tratta di un attacco reso possibile dal fatto che Firefox, a differenza di altri browser, non opera alcuna misura di isolamento tra le varie estensioni installate dall'utente. Questo "riuso di vulnerabilità" permette ad un add-on dannoso di occultare il suo comportamento appoggiandosi alle funzionalità di altre estensioni. Invece, per esempio, di portare il sistema a visitare un sito web fraudolento o a scaricare file dannosi, l'add-on va a sfruttare le vulnerabilità di estensioni di terze parti che possono consentire l'esecuzione delle medesime azioni.

"Questa vulnerabilità permettono ad un'estensione apparentemente innocua di riutilizzare funzionalità pericolose per la sicurezza presenti in altre estensioni legittime, allo scopo di lanciare in maniera furtiva attacchi confusi. Estensioni dannose che fanno uso di questa tecnica sarebbero molto più difficili da individuare tramite le attuali metodologie di analisi" spiegano gli autori della ricerca, dettagliata in questo documento.

Tra le 10 estensioni più popolari approvate ufficialmente da Mozilla e rese disponibili sul sito ufficiale, solamente AdBlock Plus non presenta alcuna falla che possa essere sfruttata da un add-on che si basa sulla tecnica del riuso delle vulnerabilità. Oltre alle già citate NoScript e Firebug, anche Video DownloadHelper, Greasemonkey e FlashGot Mass Down hanno mostrato vulnerabilità facilmente riutilizzabili da una eventuale estensione realizzata appositamente per questo scopo, che possono portare alla sottrazione dei cookie del browser, all'accesso e al controllo del filesystem o all'apertura di pagine web scelte da un attaccante.

"Abbiamo osservato che mentre è possibile combinare vulnerabilità di varie estensioni per elaborare attacchi complessi, spesso basta impiegare una singola vulnerabilità per lanciare attacchi pericolosi con un'alta probabilità di successo, rendendo questo tipo di minaccia piuttosto grave anche in presenza di un piccolo numero di estensioni" osservano ricercatori.

I ricercatori hanno sviluppato un'estensione per FireFox molto semplice, allo scopo di realizzare un proof-of-concept. L'estensione, dal nome ValidateThisWebsite, ha lo scopo di analizzare il codice HTML di un sito web per determinare se risponde agli attuali standard. Dietro le quinte, però, questa estensione compie una chiamata cross-extension a NoScript che causa l'apertura in FireFox di un indirizzo web scelto dai ricercatori. Quanto osservato è frutto proprio della mancanza di isolamento tra le estensioni di FireFox.

Mozilla ha riconosciuto il problema e ha fatto sapere di essere al lavoro su una riscrittura completa del modo in cui FireFox gestisce e usa le estensioni, in maniera tale da usare misure di sandboxing che evitino la condivisione di codice. In particolare Nick Nguyen, vicepresident FireFox Product per Mozilla, ha commentato: "The way add-ons are implemented in Firefox today allows for the scenario hypothesized and presented at Black Hat Asia. The method described relies on a popular add-on that is vulnerable to be installed, and then for the add-on that takes advantage of that vulnerability to also be installed. Because risks such as this one exist, we are evolving both our core product and our extensions platform to build in greater security. The new set of browser extension APIs that make up WebExtensions, which are available in Firefox today, are inherently more secure than traditional add-ons, and are not vulnerable to the particular attack outlined in the presentation at Black Hat Asia. As part of our electrolysis initiative - our project to introduce multi-process architecture to Firefox later this year - we will start to sandbox Firefox extensions so that they cannot share code."

I ricercatori suggeriscono che, in attesa della pubblica disponibilità delle nuove architetture per le estensioni, venga modificato il processo di revisione degli add-on così da poter identificare con maggior accuratezza le eventuali estensioni dannose e le vulnerabilità incrociate.