Verbreitete Firefox-Erweiterungen wie NoScript für neuartigen Angriff anfällig

Neun der zehn beliebtesten Firefox-Erweiterungen enthalten Schwachstellen, die eine neue Angriffsmethode durch eine zusätzlich installierte Erweiterung ermöglichen. Diese kann im Huckpack-Verfahren Funktionen der häufig vorhandenen Erweiterungen für ihre bösartigen Zwecke nutzen. Das haben Sicherheitsforscher auf der Konferenz Black Hat Asia in Singapur enthüllt und eine Studie (PDF) dazu veröffentlicht.

Das zugrundeliegende Problem sehen die Forscher der Northeastern University in der fehlenden Isolation zwischen den Add-ons in der Erweiterungsarchitektur des Browsers. Mozilla ist sich dessen auch bewusst, wie aus einer Stellungnahme von Nick Nguyen, Vice President of Product Strategy, gegenüber Ars Technica hervorgeht. Gegen solche Risiken will es mit neuen APIs für Erweiterungen angehen und auch die Sicherheit des Kernprodukts weiterentwickeln.

Unter den zehn populärsten Add-ons, die Mozilla selbst auf seiner Webseite verfügbar macht, enthält demnach nur Adblock Plus keine solche Schwachstelle. In NoScript, Firebug, Greasemonkey, Video DownloadHelper und FlashGot Mass Downloader hingegen fanden sich Bugs, die die Ausführung bösartigen Codes durch ein weiteres gefährliches Add-on ermöglichen. Viele Erweiterungen erlauben es außerdem, Browser-Cookies zu entwenden, auf das Dateisystem eines Computers zuzugreifen oder Webseiten nach Wunsch eines Angreifers zu öffnen.

Da das alles durch die indirekte Nutzung vertrauenswürdiger Erweiterungen erfolgt, ist es umso schwieriger, auf das bösartige Add-on aufmerksam zu werden. Statt selbst den Besuch einer bösartig präparierten Website oder den Download von Malware zu veranlassen, kann das Add-on Schwachstellen in anderen Erweiterungen für seine Zwecke nutzen.

„Angreifer können eine Erweiterung schreiben, die für jeden, der das Plug-in untersucht, harmlos aussieht“, zitiert Threatpost William Robertson, einen der vier Wissenschaftler, die die Schwachstelle aufdeckten. „Aber wenn sie einmal dem Firefox-Browser hinzugefügt ist, könnte die harmlos wirkende Erweiterung ganz einfach eine zweite Firefox-Erweiterung ausnutzen, um Malware auf den Rechner des Nutzers zu bringen.“ Als Proof-of-Concept-Code erstellten sie eine Firefox-Erweiterung mit rund 50 Programmzeilen, die bei Mozillas Überprüfung nicht als bösartig erkannt wurde.

Eine der Hürden für potentielle Angreifer ist aber natürlich, das der Nutzer diese zusätzliche Erweiterung zuerst installieren muss. Robertson führte weiter aus, dass die Mozilla Foundation schon „eine Zeitlang“ über die Erkenntnisse der Northeastern-University-Forscher informiert und seither besonders wachsam ist, wenn es um die Prüfung neu eingereichter Add-ons für den Browser geht.

Mozilla wiederum verwies auf neue Browser-APIs für WebExtensions, die ab sofort für Firefox verfügbar sind: „Sie sind grundsätzlich sicherer als herkömmliche Add-ons und nicht anfällig für die besondere Attacke, die bei der Präsentation auf Black Hat Asia beschrieben wurde. Als Teil unserer Initiative Electrolysis – unser Projekt für die Einführung einer Multi-Prozess-Architektur für Firefox später in diesem Jahr – werden wir mit dem Sandboxing von Firefox-Erweiterungen beginnen, damit sie keinen Programmcode mehr teilen können.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.