Cuidado con los add-ons de Firefox

Add-on

Hoy en día los que utilizamos Firefox para navegar, tenemos la necesidad de recurrir a la comunidad desarrolladora que realiza espectaculares Add-ons para implementar funciones al hábito y saciar un poco más la sed de complementación.

Lastimosamente el més pasado fue descubierto entre uno de estos complementos un backdoor dentro de una colección de herramientas de testeo de seguridad. Para aquellos que no están acostumbrados al término, un backdoor o “Puerta trasera” es una secuencia especial dentro del código del programa mediante el cual se puede pasar métodos de autenticación para poder por ejemplo acceder a información restringida.

Usando el set denominado “Mozilla Sniffer add-on” se introdujo una vulnerabilidad inesperada a cualquiera de las aplicaciones que fueran testeadas, cuando fuera que un formulario de autenticación(de esos que usar para entrar en las redes sociales) sea enviado con ello también se enviaba una copia secreta de: la URL a la que estabas ingresando, la contraseña y otros detalles, a una IP presumiblemente del autor malicioso.

EL backdoor fué descubierto por Johann-Peter Hartmann que estaba usando el set de Mozilla Sniffer para testear la seguridad del juego online de uno de sus amigos (Gracias Johann). Lo descubrió mientras le estaba dando una prueba al OWASP Firefox Security Collection, específicamente el Burp Suite para chequear los request que se estaban enviando, lo que sucedió fue que notó un HTTP request extraño que era hecho a una dirección http://74.220.219.77, y con ello que se transmitía el nombre de usuario y contraseña al servidor remoto como también la página en donde realizó la autenticación.

Luego de encontrar que el “Mozilla Sniffer add-on” no estaba haciendo lo correcto, Hartmann reportó el problema a security@mozilla.org, los cuales actuaron de manera rápida y profesional, donde pusieron al add-on fuera del alcance de las descargas en apenas unos minutos y luego del análisis posterior el add-on fue dado de baja para siempre.

El que realizó el fraude se había creado una cuenta falsa dentro del sistema de Mozilla con la fotografía del editor John Paczkowski, quien confirmó no ser el de la cuenta y que alguien más había usado su foto.

add-onAunque el add-on estaba marcado como experimental, el autor insistía en que este fue validado por Mozilla y revisado por más de algunos desarrolladores. Es mejor verificar, cuando descargan algo nuevo, complementario a lo que usualmente usan, de que sea segura la aplicación y no estén repartiendo tus datos.

Vía:

Netcraft

Enlace:

– Backdoor