Инженеры компании Mozilla исключили из официального каталога 23 дополнения для браузера Firefox. Все «проштрафившиеся» решения собирали информацию о пользователях и переправляли на удаленные серверы.

В начале текущей недели критике со стороны сообщества повергся известный аддон Web Security, созданный компанией Creative Software Solutions, который призван защищать своих пользователей от фишинга, малвари и других сетевых угроз.

Дело в том, что немецкий ИБ-специалист и разработчик блокировщика рекламы uBlock Origin Майк Кукец (Mike Kuketz) рассказал о том, что Web Security, который ранее рекомендовали к использованию сами разработчики Firefox, следит за своими пользователями, коих насчитывается более 220 000.

Кукец и его коллеги выяснили, что Web Security собирает информацию обо всех адресах, посещенных пользователями, и передает эти данные на удаленный сервер. Кроме того, дополнение присваивало каждому пользователю свой ID и отслеживало их браузинговые привычки.

Так как сообществу предостережение Кукеца и его коллег всерьез не понравилось, разработчики Mozilla поспешили провести тщательный аудит Web Security. Но, как оказалось, одной только проверкой подозрительного дополнения дело не ограничилось.

16 августа 2018 года инженер Mozilla Роб Ву (Rob Wu) сообщил журналистам Bleeping Computer, что по итогам проверки Web Security был заблокирован из-за передачи пользовательских данных на удаленные серверы, потенциальной опасности удаленного исполнения произвольного кода и подозрительной активности с нескольких аккаунтов в каталоге AMO. Однако организация также изучила на предмет похожего поведения и другие аддоны. В итоге, вместе с Web Security, из каталога AMO были удалены еще 22 продукта. Все они отключены в браузерах пользователей и теперь сопровождаются соответствующим предупреждением.

Хотя по приведенной выше ссылке названия аддонов не раскрываются (там приводятся лишь ID), журналисты Bleeping Computer установили, что блокировка так же постигла Browser SecurityBrowser Privacy и Browser Safety, которые передавали собранную информацию на тот же сервер: 136[.]243[.]163[.]73. Помимо этого удалены оказались Popup Blocker и Quick AMZ, а также несколько дополнений, разработанных пользователям YTTools,  FBTools,  DirtyLittleHelpers и  CSS IO.

Нужно отметить, что представители Creative Software Solutions отрицают обвинения исследователей и опровергают выводы, сделанные инженерами Mozilla. В компании уверяют, что их решение не шпионило за пользователями, компания работает в соответствии с GDPR, а защищенная связь с удаленным сервером поддерживалась исключительно для обеспечения работы заявленных в описании дополнения функций. В частности, таким образом якобы осуществлялась проверка URL на безопасность. Разработчики пообещали представить за суд Mozilla обновленную версию Web Security и надеются доказать свою правоту.

Оставить мнение