Firefox Security -lisäosa 222 kt: n laitteista löysi selausdatan lähettämistä saksalaiselle etäpalvelimelle

Uutiset
Turvallisuus / Firefox Security -lisäosa 222 kt: n laitteista löysi selausdatan lähettämistä saksalaiselle etäpalvelimelle 1 minuutti luettu

Neowin



On suosittu selainlisäosa, jonka 222 746 Firefox-käyttäjää asentaa Mozillan omien lisälataustilastojen mukaan. Saksalaisen turvallisuusbloggerin Mike Kuketzin ja uBlock Originin kirjoittajan Raymond Hillin mukaan tämä lisäosa on vakoillut käyttäjien toimintaa napauttamalla heidän selainhistoriaansa ja seuraamalla vierailemiaan verkkosivuja. Tämä lisäosa on Mozilla Firefox -selaimen Web Security -laajennus.

Verkkoturva on suunniteltu suojaamaan käyttäjiä verkkohuijauksilta ja haittaohjelmilta, jotka voivat varastaa henkilökohtaisia ​​tietoja. Tämä on yhtä ironista kuin laajennuksen havaitaan olevan epäeettisesti pitämässä välilehtiä (pun-tarkoitus) omissa tiedoissa, kiertämällä yksityisyyttäsi ilman suostumustasi. Syynä siihen, että tämä uutinen osuu telineisiin niin massiivisesti, on se, että Mozilla itse julkaisi lisäosan viime viikolla blogikirjoituksessa. Lisäosalla on upeat arvostelut, ja siksi myös monet ihmiset käyttävät sitä niin laajasti.

Mozilla's blogipostaus poistettiin nopeasti, kun Hill löysi tämän puutteen lisäosassa ja toi sen esiin redditissä sanomalla, että laajennus lähetetään osoitteeseen http://136.243.163.73/ jokaiselle selaimeen ladatulle verkkosivulle. Hän jatkoi, ettei lähetettyjä tietoja purettu tässä vaiheessa, ja kehotti muita turvallisuusanalyytikkoja tutkimaan sitä. Eilen Kuketz huomasi saman erikoisuuden ja tutki sitä edelleen saadakseen selville, että käyttäjien vierailemat URL-osoitteet asetettiin saksalaiselle palvelimelle.



Vaikka jotkut sovellukset käyttävät URL-tietoja mahdollisten uhkien etsimiseen, mikään tällainen haku ei edellytä tietojen siirtämistä etäpalvelimen sijaintiin. Tarkasteltaessa alla olevaa koodia havaittiin, että lisäosa kirjasi käyttäjien verkkosivujen vierailutottumukset ja kirjasi heidät käyttäjätunnuksiin heidän yleisten selausmalliensa arvioimiseksi. Tämä analyysi ja tiedonkeruu ovat tarpeettomia laajennuksen käyttämää tarkoitusta varten. Kaksi samanlaista lisäosaa, Tyylikäs ja Web of Trust, kiellettiin tietojen keräämisestä samalla tavalla, mutta Web Securityä ei ole vielä kielletty.