CrossFire: Sicherheitsforscher malträtieren Add-on-API von Firefox

Die Erweiterungs-Infrastruktur von Firefox weist Schwachstellen auf, sodass harmlos erscheinende Add-ons andere Erweiterungen ausnutzen können, um etwa Schad-Code auf Computer zu schleusen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beiträge
Adblock

(Bild: dpa, Andrea Warnecke/Archiv)

Update
Von
  • Dennis Schirrmacher

Hacker könnten unter anderem neun der zehn beliebtesten Erweiterungen für Firefox missbrauchen, um Computer im schlimmsten Fall zu kompromittieren. Davor warnten die Sicherheitsforscher Ahmet Buyukkayhan und William Robertson, als sie die Add-on-Infrastruktur von Firefox auf der Black Hat Asia unter Beschuss nahmen (PDF-Download).

In ihren Tests konnten die Kryptologen die Schwachstellen eigenen Angaben zufolge erfolgreich mit Firefox unter OS X und Windows ausnutzen. Bisher soll es öffentlich noch nicht zu derartigen Übergriffen gekommen sein.

Insgesamt untersuchten sie eigenen Angaben zufolge 2.000 Add-ons mit einem selbst entwickelten Framework namens CrossFire. Die Kryptologen nennen aber keine konkrete Zahl, von betroffenen Erweiterungen. Unter anderem sollen GreaseMonkey und NoScript bedroht sein; diese Add-ons haben Millionen von Nutzern. Adblock Plus, mit seinen 22 Millionen Installation, soll nicht betroffen sein.

Als Grundlage für einen erfolgreichen Angriff führen Buyukkayhan und Robertson die Art der Einbindung in den Webbrowser und die Struktur von Firefox-Erweiterungen an. So laufen diese etwa mit erhöhten Rechten und können zum Beispiel auf Passwörter und System-Ressourcen zugreifen.

Über das Cross Platform Component Object Model (XPCOM) haben Firefox-Add-ons weitreichenden System-Zugriff. Über eine Schwachstelle in der Add-on-API können harmlos wirkende Add-ons andere Erweiterungen missbrauchen, um etwa diskret Schad-Code auf Computern auszuführen.

(Bild: Screenshot)

Um einen Übergriff einzuleiten, muss ein potentielles Opfer eine für den Angriff anfällige Erweiterung installiert haben. Wird nun ein zweites präpariertes, aber harmlos wirkendes Add-on eingespielt, kann dieses den Krpytologen zufolge über die anfällige Erweiterung etwa Schad-Code außerhalb des Webbrowsers ausführen. Sie nennen diesen Angriff Extension-Reuse-Verwundbarkeit.

Das gelinge, da Add-ons innerhalb der derzeitig eingesetzten Infrastruktur in Firefox nicht abgeschottet voneinander laufen und sich austauschen können.

Um ihr Angriffsszenario zu untermauern, haben Buyukkayhan und Robertson eine mit ihrem Framework gebaute, aber harmlose Proof-of-Concept-Erweiterung auf die Add-on-Plattform von Firefox hochgeladen. Dabei schlugen eigenen Angaben zufolge keine Sicherheitsmechanismen an.

Mit CrossFire könne man derartige Erweiterungen mittels einer Vorlage mit wenigen Klicks erstellen. Das Framework wurde mittlerweile Mozilla zugänglich gemacht.

Der leitende Firefox-Sprecher Nick Nguyen hat das Angriffsszenario in den Bereich des Möglichen eingeordnet. Daraus resultierend haben die Firefox-Macher bereits reagiert und über hundert gefährdete Add-ons blockiert.

Mozilla werkelt bereits seit Sommer vergangenen Jahres an einer neuen API für Erweiterungen namens WebExtensions. Dieser Unterbau soll derartige Angriffe unterbinden. Im Laufe dieses Jahres sollen Erweiterungen in Firefox in Sandboxen voneinander abgeschottet laufen, versichert Nguyen gegenüber Kaspersky. Bei etwa Chrome und Edge ist dieser Ansatz Standard.

Bereits ab Firefox 45 ist die WebExtension-API verfügbar, aber bisher nur im Alpha-Stadium. Die finale API soll Mozilla zufolge in Firefox 48 implementiert sein. Diese Version soll Anfang August dieses Jahres erscheinen.

[UPDATE, 07.04.2016 09:35]

Formulierung der Sicherheitsmechanismen der Add-on-Plattform von Firefox angepasst.

Einem Mozilla-Sprecher zufolge wurden keine Add-ons blockiert. (des)