Una ola de complementos de malware llega a la tienda de extensiones de Mozilla Firefox

Si navega por la tienda oficial de Mozilla para las extensiones de Firefox, llamada Mozilla AMO, puede tropezar con extensiones que tienen nombres de productos o extensiones de software populares.

Las extensiones como Adobe Flash Player o ublock Origin Pro se enumeran actualmente en la tienda Mozilla AMO. Estos no tienen usuarios al momento de escribir, ya que son nuevos y parecen haber sido creados y cargados por usuarios aleatorios (usuario de Firefox xyz).

Las extensiones no tienen descripción y requieren acceso a todos los datos de todos los sitios web. Cuando descarga las extensiones, puede notar que el nombre de la extensión no coincide necesariamente con el nombre del archivo descargado. La descarga si ublock origin pro devolvió un archivo adpbe_flash_player-1.1-fx.xpi.

Las extensiones reales tienen diferentes tamaños de archivo y su funcionalidad también puede diferir. Todos tienen en común que escuchan ciertas entradas de los usuarios y las envían a un servidor web de terceros.

La extensión copycat de uBlock envía datos de formulario a un servidor web, el primer copycat de Adobe Flash Player que verifiqué registró todas las entradas del teclado e hizo lo mismo.

Mozilla eliminará las extensiones una vez que las note. El problema aquí es que esto sucede después del hecho. Las extensiones de spam pueden aparecer en las búsquedas de los usuarios y también aparecen cuando ordena por actualizaciones recientes.

Mozilla cambió de un modelo de "revisar primero, publicar segundo" a "publicar primero, revisar segundo" en 2017. Cualquier extensión cargada en Mozilla AMO que pasa las comprobaciones automáticas se publica primero, con la excepción de las extensiones del programa Extensiones recomendadas de Firefox.

Google hace lo mismo pero ni siquiera revisa las extensiones manualmente después de la publicación. El proceso conduce a publicaciones más rápidas, pero también abre la puerta al spam y a las extensiones maliciosas.

Palabras de clausura

Las extensiones maliciosas o spam que usan los nombres de extensiones o programas populares no son nada nuevo. La tienda AMO de Mozilla se vio afectada por oleadas de extensiones de spam en 2017 y 2018, ambas sucedieron después de que Mozilla cambió el proceso de lanzamiento.

Chrome Web Store de Google se vio afectado aún más por extensiones no deseadas en los últimos años. La popularidad de Chrome y el hecho de que Google no revisa ninguna extensión manualmente de forma predeterminada juegan un papel aquí.

Si bien es fácil detectar estas extensiones falsas particulares, otras pueden no ser tan fáciles de detectar. En 2017, sugerí que Mozilla agregara un lote "revisado manualmente" a las extensiones para dar a los usuarios de Firefox más confianza en la legitimidad de las extensiones en el repositorio oficial de complementos.

Ahora tú: ¿Qué crees que deberían hacer compañías como Google o Mozilla?