I juli förra året påpekade vi att Google Reader Notifier-tillägget hade förvandlats till crapware , NoScript-tillägget kapade en annan förlängning , och även Fast Dial-tillägget spammade dig - så det var bara en tidsfråga innan en anknytning kom med en fullblå trojan.
Förra gången var det lika enkelt som skräppostlänkar som dyker upp i din webbläsare och spårar webbadresserna du skulle - riktigt frustrerande och ont, men inte nödvändigtvis världens ände, eftersom det inte skulle ta över din dator .
Igår rapporterade Mozilla-tilläggsbloggen det två tillägg innehöll otäcka trojaner som kapade din dator .
Två experimentella tillägg, version 4.0 av Sothink Web Video Downloader och alla versioner av Master Filer befanns innehålla Trojan-kod riktad till Windows-användare. Version 4.0 av Sothink Web Video Downloader innehöll Win32.LdPinch.gen och Master Filer innehöll Win32.Bifrose.32.Bifrose Trojan. Båda tilläggen har inaktiverats på AMO.
Om du har installerat dessa tillägg när som helst bör du se till att köra en fullständig virussökning på din dator.
Rant om Firefox Extension Security
Istället för att skämma igen, låt mig bara citera vad jag sa förra gången detta hände…
Vad hindrar ännu ett Firefox-tillägg från att förvandlas till skadlig programvara, smyga in spårningskoder eller stjäla din personliga information? Det har redan hänt med två av de mest populära tilläggen ... Någon på Mozilla behöver göra något åt detta.
Den nuvarande processen på Mozilla är att köra en automatiserad virusscanner mot tilläggen, och till följd av detta har de lagt till fler skanningsverktyg till processen. Detta löser inte det verkliga problemet, eftersom alla virusprogrammerare med vissa kunskaper kan skriva ett anpassat virus som inte plockas upp av något av de kommersiella virussökningsverktygen. Visst, några av verktygen har heuristik som förmodligen kommer att upptäcka rootkits och några av de otäckaste teknikerna, men det kommer inte att förhindra problemet helt.
Det verkliga problemet är inte ens ett traditionellt virus , vad gäller mig. Hur svårt skulle det vara för någon att skriva ett inbyggt Firefox-tillägg som helt enkelt tar alla dina lösenord och skickar dem till en oseriös webbplats? Det finns inget säkerhetslager som förhindrar tillägg från att komma åt din personliga information lagrad i webbläsaren, och ingen virusscanner kommer att plocka upp ett inbyggt Firefox-tillägg eftersom de är skrivna i Javascript.
Den partiella lösningen
Ingen förväntar sig att Mozilla ska skanna igenom källkoden för varje enskilt tillägg - det är ändå bara benäget för mänskliga fel. Det som är meningsfullt är dock att ha vissa lager av säkerhet som förhindrar tillägg från att komma åt någon av din personliga information som lagras i webbläsaren såvida du inte specifikt tillåter dem.
Vad kan du göra för att hålla dig säker?
Du bör alltid se till att granska recensionerna för en anknytning innan du installerar den - ta inte bara någon annans ord när de garanterar en förlängning ... se till att du gör din aktsamhet för att kolla in saker först. Samma sak gäller naturligtvis för alla applikationer - om du installerar applikationer utan att göra en virussökning, lämnar du dig själv öppen för att ha din PC kapad.
