Mozilla wijst op risico van remote code bij Chrome-extensies

[Captain Kirk]

Google Chrome staat toe dat extensies van een remote locatie code kunnen downloaden en uitvoeren, wat een risico voor gebruikers is, zo waarschuwt Mozilla. Onlangs kondigde Google verschillende beveiligingsmaatregelen aan om de veiligheid van Chrome-extensies te verbeteren.

Zo kunnen Chrome-gebruikers de toegang van extensies tot bepaalde websites beperken en zullen extensies strenger worden gecontroleerd. Verder heeft Google het gebruik van geobfusceerde code in extensies verboden en zijn extensie-ontwikkelaars straks verplicht om via 2-stapsverificatie in te loggen. Mozillas Mike Conca prijst de aangekondigde maatregelen, maar stelt ook dat Google op bepaalde vlakken een stap verder had kunnen gaan.

Binnen Firefox is het bijvoorbeeld voor extensies verboden om remote code te gebruiken. "We vinden dat geen enkele controle de risico's kan elimineren die worden geïntroduceerd als ontwikkelaars eenvoudig en ondetecteerbaar kunnen aanpassen welke code door extensies worden geladen", aldus Conca. Het beleid van Mozilla zorgt ervoor dat geen enkele ongecontroleerde code door de browser wordt geladen en de verplichte digitale handtekeningen voorkomen dat gecontroleerde code later kan worden aangepast.

Waar Google het gebruik van geobfusceerde code heeft verboden, staat Mozilla dit juist toe. Obfuscatie maakt het lastig om te bepalen wat een extensie precies doet. Mozilla verplicht echter dat extensie-ontwikkelaars de niet geobfusceerde code van de extensie ter controle indienen, alsmede instructies hoe de online versie, inclusief de obfuscatie, is te reproduceren. "We vinden het belangrijk dat ontwikkelaars hun code kunnen beveiligen, maar tegelijkertijd goed gecontroleerde extensies kunnen aanbieden die de veiligheid en privacy van gebruikers respecteren", merkt Conca op.

2-stapsverificatie

Mozilla en Google vinden elkaar wel waar het gaat om het gebruik van 2-stapsverificatie. Zowel vorig jaar als dit jaar wisten aanvallers via phishingmails de accounts van ontwikkelaars van Chrome-extensies over te nemen. Vervolgens gebruikten aanvallers deze toegang om malafide updates onder gebruikers van de Chrome-extensies te verspreiden. Vanaf volgend jaar worden extensie-ontwikkelaars door Google verplicht om van 2-stapsverificatie gebruik te maken. Naar aanleiding van de succesvolle phishingaanvallen op ontwikkelaars van Chrome-extensies gaat ook Mozilla vanaf volgend jaar 2-stapsverificatie voor ontwikkelaars van Firefox-extensies verplichten.

 

 

bron: security.nl