Firefox 上的安全主題我有研究一陣子，上來野人獻曝 :) 現在確定惡意的附加元件(malicious components)可以做到: 1. 繞過安裝提示，直接安裝惡意元件到 firefox 上。 2. 在附加元件列表上，隱藏自身而不顯示出來 從 Trojan.PWS.ChromeInject.A 身上，它只實作了第 1點。 如果它實作了第 2點，那麼使用者很難在介面操作上找到這 個惡意附加元件。 再來，偽裝成其它附加元件的作法也是有分級的: (低) 冒名其它的附加元件。 (高) 附屬於其它的附加元件。 較低的作法只是"冒名"而無實作其功能，而高級作法則有。 例如 Trojan.PWS.ChromeInject.A 是假冒 Greasemonkey， 但假冒的行為若是沒有實作出 Greasemonkey 的功能，則很 容易被使用者發現而移除。 但事實証明(我也實作過)，假冒別的附加元件，除了惡意的 程式外，也是可以實作出原本附加元件的功能，這樣在騙使 用者安裝時，不容易被使用者發現。 因為沒有 Trojan.PWS.ChromeInject.A 樣本，所以我不清楚 它的層級是屬於哪個。 不過，我與 ybite 板友有一點不同的想法，若有錯請指正 :) 這個惡意元件應該不是以 .exe 來散佈，它是以附加元件的 方式，就像大家平常裝附加元件那般。加上 firefox 有繞過 安裝提示的漏洞，這使得可能在瀏覽一個網頁時，就被莫名 的"安裝"。 最後，暫時可以放心的是，這個惡意元件會伴隨著惡意的 DLL 程式散佈，這就比較容易被防毒軟體抓出來。但若是單純利 用 javascript 來做，這就很難防了。 雖然有很多人認為 javascript 能做的事情有限，但我在今 年台灣駭客年會實作出來的手法都只是用 javascript 做的 ，不用 DLL 的方式是想要避開防毒軟體的偵測。 目前我實作出來的惡意 firefox 附加元件的功能有: 1. 釣魚網頁 2. 內部網路入侵 3. 追蹤瀏覽紀錄 4. 竊取 cookies (我用竊取 Gmail 為範例) 5. 自動化 CSRF 攻擊 (有可能做到自動銀行轉帳) 6. 讀取使用者電腦的檔案 (密碼檔/照片檔...) 7. 竊取使用者輸入的任何帳號/密碼/信用卡卡號 8. 遠端控制 (可令使用者自己下載木馬，瀏覽惡意網站) 當然，事實証明，市面上沒有一套防毒軟體抓得出來我的展 示樣本。 以上只是想要告知 firefox 使用者， "Firefox 不一定安全" 最後，其實是可以寫個元件，專門來檢查目前安裝的元件是 否安全，但是我沒有時間，有興趣往這方面研究的人可以試 試看。 :) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.109.22.10