jueves, octubre 11, 2012

Instalación de extensiones en Firefox de manera silenciosa

Las extensiones en los navegadores tienen una importancia en la seguridad del usuario extraordinaria. Una extensión cargada tiene acceso a todo lo que está sucediendo en la sesión del usuario, pudiendo acceder a todo el contenido y manipularlo a sus anchas, para hacer algún truco como podría ser el de la transferencia bancaria ficticia que se han inventado ahora los especialistas en fraude online.

En Firefox, como muchos sabéis, cuando se instala una nueva extensión, este se guarda en la carpeta /extensions/ del perfil de usuario y luego se solicita confirmación al usuario para que autorice la ejecución de esta extensión en el navegador, como se puede ver en la siguiente captura.

Figura 1: Warning de nueva extensión en Firefox

Sin embargo, la protección que utiliza Firefox para que  el usuario esté informado es bastante sencilla, ya que como explica Julien Sorbier, se trata solo de añadir un registro a la base de datos SQLite3 llamada extensions.sqlite un registro con los siguientes datos:

Figura 2: Extensions.sqlite
- Nombre, version, descripción, etcétera de la extensión.
- Si está habilitado o no.
- Si está activo o no.
- Si ha sido instalado desde el sitio oficial de Mozilla o no.
Para probarlo ha dejado una extensión de Firefox que se instala de forma silenciosa, y ha publicado el código fuente de cómo hacerlo - escrito en C# - que puede ser adaptada fácilmente para acceder a cualquier otros datos. El siguiente vídeo es la demostración de cómo funciona.


Esto es así, porque el funcionamiento es buscar todos los ficheros de extensión en disco, y si no está el registro para esa extensión creado, entonces se le solicita al usuario autorización para usar la extensión y crear el registro. Así de simple, peligroso y útil para los creadores de malware, pero además seguro que se te ocurren mil formas de sacar partido de esto en ataques dirigidos personalizados.

Saludos Malignos!

8 comentarios:

Hector dijo...

Buenos días,
Ya se que esto no es un foro, pero bueno, si alguien quiere responder mejor que mejor.

Imaginad una página que vende libros electrónicos y la URL es del tipo: http://dominio/ruta/libro/ficha/titulo.html

Supongamos que descubres que la forma de descargar el libro sin comprarlo es poniendo en el navegador: http://dominio/ruta/libro/titulo.pdf (es decir quitar un directorio y cambiar el nombre del fichero cargado)

Sin entrar en lo ético, ¿sería ilegal?

El contexto es desde España, un servidor / cliente español.

Si alguien se apunta a contestar, gracias por anticipado.

Hector dijo...

Huelga decir, que el directorio no permite un listado de los archivos, ni se encuentra indexado por los buscadores.

tayoken dijo...

Chema, chema, chema... Ya no te trolean como antes, con lo que me gusta entrar al trapo.

Hasta hace dos días los BHO eran una fiesta en IE.

Creo recordar que sólo a partir de IE9 se advierte de la instalación de un nuevo elemento y fijo que hay forma de saltárselo.

P.D.: Hector, pon la url real y que el internete decida su destino :)

Hector dijo...

oiste neno! me vuelves a llamar troll y te hago invitarme a una birra... en cuanto a publicar la ruta... bueno ya tú sabes, la noche me confunde pero no es cosa de romper NORMAS.

tayoken dijo...

Hector, creo que te confundes, yo me llamé troll a mí mismo, ya que iba a comentar sólo para trollear ;)

Anónimo dijo...

Chema, ¿no has escrito nada de DNT y de cómo los chicos delladodelbien lo están saboteando para perjudicar a IE10 y sus usuarios?.

Oye Héctor, pon la URL de ésa página, así te puedo responder mejor XD.

Jaime dijo...

Con Chrome es aún mas sencillo de instalar extensiones silenciosas, al incorporarlas en la carpeta "extensions" y luego simplemente añadirla al Preferences. Además de para el fraude online se está utilizando sobre todo para los "spreads actuales" ,publicar en Facebook , Twitter, Google+, etc los enlaces a BlackHoles o siemplemente a "Fakes" del propio Facebook.

Saludos

Hector dijo...

tayoken... te pido disculpas, espero que el tono utilizado se viera como no ofensivo... en cualquier caso, si quieres invitarme a esa birra te la aceptaré.

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares