В каталозі розширень Firefox (AMO) є багато шкідливих програм, що прикидаються відомими продуктами: Adobe Flash Player, ublock origin Pro, Adblock Flash Player тощо.
Поки ці розширення видаляють, зловмисники одразу публікують їх з нових облікових записів. Запозичені у популярних проектів назви потрібні, щоб потрапляти у видачу на поширені запити. Якщо все ж завантажити файл, назва буде інша і матиме приблизно такий вигляд: adpbe_flash_player-1.1-fx.xpi file.
Після встановлення розширення вимагають доступ до даних про усі перегляди сайтів. Вони надсилають Cookie та інші дані на хост theridgeatdanbury.com. Ці дії ніяк не приховуються.
Імовірно, що саме через простий код і повністю відкриту активність, розширення змогли обійти систему рецензування. Однак система проігнорувала і те, що програми надсилають дані на зовнішній хост.
Ця система рецензування Firefox діє з 2017 року, раніше розширення перевірялись вручну. Автоматичність пришвидшила процеси для розробників і користувачів, та, як бачимо, працює вона не ідеально. Інколи розширення все ж рецензують вручну, однак тільки після публікації програм у каталозі.
Ще немає коментарів