Nieuws
image

"Firefox uitstekend malware platform"

dinsdag 9 december 2008, 10:01 door Redactie, 16 reacties

Dat malware zich vermomt als Firefox extensie is helemaal niet vreemd, volgens beveiligingsonderzoeker Petko Petkkov is Mozilla's browser namelijk een uitstekend malware platform. Vorige week woensdag kwam de Roemeense virusbestrijder BitDefender met de waarschuwing dat het een Trojaans paard had ontdekt dat zich voordoet als een Firefox plugin en door een ander virus op de computer wordt geïnstalleerd. Eenmaal in de browser actief, steelt het inloggegevens van online bankrekeningen. Het ging hier trouwens om de GreaseMonkey plugin.

Petkov is verbaasd dat criminelen niet eerder met deze aanpak kwamen: "Ik vraag me af waarom criminelen er nu pas achter komen dat Firefox een uitstekend malware platform is." Zelf had hij ook al deze aanvalsvector bedacht en wilde die tijdens de Black Hat conferentie demonstreren. Het idee was om een kwaadaardige plugin met een backdoor op addons.mozilla.org te plaatsen. "Voor duidelijke redenen zag ik af van het plan, maar de aanval is zeer waarschijnlijk."

Onbetrouwbaar
De reden dat Firefox zich zo goed leent voor malware is dat de browser uit JavaScript, XML en andere code bestaat die lastig te doorgronden is. "Het verbergen van dingen is kinderspel, met name als de meeste extensies als een berg rotzooi eruit zien." Petkov doelt dan op jar bestanden, encodering, URL protocollen en nog een aantal andere zaken. Volgens de onderzoeker zijn er honderden manieren om malware te verbergen. "Soms kijk je ernaar en realiseer je niet eens dat het er is." Hij heeft dan zelf ook geen enkel vertrouwen in de uitbreidingen voor de opensource browser.

Zelfs als Mozilla een granulair beveiligingsmodel voor de Firefox extensies implementeert, net zoals de ontwikkelaars van Chrome nu doen, denkt Petkov dat het niet voldoende is. Het probleem is dat gebruikers de meeste exenties gewoon toe zullen staan. "Het komt erop neer dat web-technologieën enorm complex zijn. Een nachtmerrie om de te debuggen en een perfect medium om kwaadaardige code in te verbergen. Geen FUD, maar de harde realiteit."

Reacties (16)
09-12-2008, 10:07 door Anoniem
Dus vanaf heden geen plugins meer installeren maar genoegen nemen met wat je nu hebt...... wel NoScript blijven Updaten hoor ! ;)
09-12-2008, 10:14 door spatieman
greasmonkey opeens een boosdoener???
hooguit als die door een malware boer gemod is worden...
09-12-2008, 10:48 door SirDice
Door spatiemangreasmonkey opeens een boosdoener???
hooguit als die door een malware boer gemod is worden...
Ik denk dat die malware boer een leuk greasemonkey script meeleverde. Greasemonkey zelf doet niet zo bijster veel.
09-12-2008, 10:53 door Marti van Lin
Ja, die waaier gaat uiteraard voor elke browser op, waarbij je plugins kunt installeren. Dus wat moeten we hier nu mee? Een browser gebruiken die niet uitbreidbaar is met extensies? Een tekst geörienteerde browser? ActiveX, ,NET, Mono verbieden. Windows gebruikers weer verplichten terug naar DOS te gaan?

Wie het weet mag het zeggen.
09-12-2008, 11:31 door Anoniem
Spam en spyware misbruiken graag de onoplettende gebruiker met meldig van u mist een Plugin voor webbrowser firefox.
Uischakelen van plugin. Ga naar C:\programma files\Mozilla Firefox\componets ,(verplaats dit bestand andere map of maak kopie als noddig hebt)! XPinstall.dll verwijder dan kan je geen plugin meer installeren.
09-12-2008, 11:41 door Marti van Lin
Ik heb onder Firefox nog nooit zo'n melding gekregen, behalve als ik een website bezoek die de Microsoft html-tag <bgsound> gebruikt (om embedded MIDI files af te spelen).

Het eerste wat ik doe, als ik voor iemand een Ubuntu versie installeer is: sudo apt-get install ubuntu-restricted-extras. Dit pakket installeert codecs, Java, MS corefonts etc..

Ik geef gebruikers dus het volgende mee: wordt argwanend als een website om plugins vraagt. Nooit accepteren.

Tot slot: Greasemonkey veranderd de browser in een gatenkaas, waardoor het hele ding scriptbaar wordt. Best wel "handig", maar voortdurend als administrator/root inloggen is ook "handig". Handig is in deze context synoniem voor gevaarlijk.
09-12-2008, 12:03 door prikkebeen
Door SirDice
Door spatiemangreasmonkey opeens een boosdoener???
hooguit als die door een malware boer gemod is worden...
Ik denk dat die malware boer een leuk greasemonkey script meeleverde. Greasemonkey zelf doet niet zo bijster veel.

Een eenmaal met de juiste malware besmette computer download een ander stuk malware wat zich in de Grasmonky map nestelt en vanuit daar ongemerkt zijn werk doet. Indien nodig wordt die map aangemaakt.
Zo had ik het laatst ergens gelezen.
09-12-2008, 13:21 door Anoniem
het doet zich voor als extensie (of 'addon'), niet als plugin
09-12-2008, 13:23 door Eerde
...net zoals de ontwikkelaars van Chrome nu doen,
Toch leuk dat 'ie even Chrome zo positief noemt :)

Verder is het natuurlijk weer de gebruikelijk paniekzaaierij !
1. Wie installeert er nou extensies anders dan van de officiele site van Mozilla ?
2. Welke bankgegevens kan je iets mee ? In NL kennen we geen banken waar je met login+ww kan telebankieren.
09-12-2008, 15:16 door Anoniem
Door Eerde
1. Wie installeert er nou extensies anders dan van de officiele site van Mozilla ?
2. Welke bankgegevens kan je iets mee ? In NL kennen we geen banken waar je met login+ww kan telebankieren.
1. Wij (lees: het zeer selecte groepje mensen met security awareness) niet, de rest van de wereld wel.
2. Wij (lees: Nederlanders en enkele andere West-Europeanen) zijn daarmee bevoorrecht, zoals je zelf aangeeft, maar het gaat hierbij dan ook niet zozeer om een waarschuwing of zo, maar om een signalering van een trend.
09-12-2008, 15:42 door Zipper306
Door AnoniemDus vanaf heden geen plugins meer installeren maar genoegen nemen met wat je nu hebt...... wel NoScript blijven Updaten hoor ! ;)

Ja hoor de slechtste addon voor Firefox is die "NoScript" addon.
De gebruikers hiervan worden binnen tien minuten dood moe van het klikken op "toestaan" dat ze dit automatisch gaan doen.

"NoScript" bied dus alleen maar schijnveilgheid.
09-12-2008, 15:58 door [Account Verwijderd]
[Verwijderd]
09-12-2008, 16:03 door Anoniem
het is niet anders dan elk ander stukje uitvoerbare code van het internet; als je het uitvoert vertrouw je dat het niets engs doet. Dus moet je het alleen van betrouwbare bronnen halen. Of het nu win32 code, een ELF executable, of een firefox extension is.

Wat dat betreft is het artikel dus onzin. Het enige waar ze misschien gelijk in kunnen hebben is dat de auditing om op AMO te komen lastig is.
09-12-2008, 16:54 door Anoniem
Nu blijkt dus IE veiliger te zijn dan Firefox!!
Dus dan maar weer terug naar IE.
09-12-2008, 19:49 door Anoniem
Door Eerde
Verder is het natuurlijk weer de gebruikelijk paniekzaaierij !
1. Wie installeert er nou extensies anders dan van de officiele site van Mozilla ?
2. Welke bankgegevens kan je iets mee ? In NL kennen we geen banken waar je met login+ww kan telebankieren.

1. https://addons.mozilla.org/en-US/firefox/addon/748
2. Persoonsgegevens, bedrijfsgeheimen, medische gegevens enz. zet jij ook op de bank?

Misschien vindt je later wel een baantje bij een van de ministeries?
09-12-2008, 20:12 door Anoniem
Door AnoniemNu blijkt dus IE veiliger te zijn dan Firefox!!
Dus dan maar weer terug naar IE.

Die redenatie is imho zo krom als een hoepel. Firefox mag dan wel een "Uitstekend malware platform" zijn dankzij de addons. Maar niemand verplicht je om die addons te installeren. En firefox vraagt tenminste nog of je een addon wil installeren, en voordat je op Ok kunt klikken moet de gebruiker nog 3 seconden wachten. Dat is bij IE met ActiveX wel anders. Je krijgt wel een waarschuwing dat er een ActiveX applet geinstalleerd zal worden, maar het "klikvee" kan en zal gewoon op Ok klikken. Ookal staat er "DIT IS MALWARE DIE JE BANKREKENING PLUNDERT!!!!!!!!!"

Veel mensen die ik ken vragen zich ook nog steeds af waar al die extra toolbars van Google, Yahoo! etc. vandaan komen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure