Una serie de extensiones han sido bloqueadas y eliminadas de la lista de complementos de Firefox. Esta información fue dada a conocer por un ingeniero de Mozilla, donde se informó que estos 23 complementos fueron retirados debido a que enviaban listados de navegación a servidores externos entre otras irregularidades.

Esta lista incluye “Web Security“, un complemento de Firefox centrado en la seguridad con más de 220.000 usuarios, puesto que se descubrió que enviaba los historiales de navegación de los usuarios a un servidor ubicado en Alemania.

Esta extensión, se muestra con un mensaje de advertencia en la parte superior, donde se redirige a los usuarios a una página donde se explica:

Envío innecesario de datos de usuario a servidores remotos y posibilidad de ejecución remota de código. Actividad de cuenta sospechosa para múltiples cuentas en AMO.

Rob Wu, ingeniero de navegación de Mozilla y revisión de complementos, ha mencionado por correo electrónico que la firma procedió a eliminar este y varios add-ons luego de una “auditoria exhaustiva” de estas extensiones:

El add-on mencionado se ha eliminado, junto con otros después de que realicé una auditoría exhaustiva de los complementos, usando herramientas que incluyen mi visor de fuente de extensión.

Según añadió Wu, estos complementos ya no están disponibles y han sido desactivados en los navegadores que ya habían sido descargados:

Estos complementos ya no están disponibles en AMO addons.mozilla.org y han sido desactivados en los navegadores de los usuarios que los instalaron.

Tal y como explica Wu, esta auditoría le arrojó dos grupos de extensiones, de acuerdo a sus características, donde se pudo notar que el primer grupo presentaba un funcionamiento muy similar a la de Web Security, obteniendo acceso a la URL de otro servidor:

En el momento de la instalación, se envía una solicitud a un servidor remoto para obtener la URL de otro servidor. Cuando un usuario navega a una ubicación diferente, se envía la URL de la pestaña a este servidor remoto. Esto no es solo una petición de “olvidar y olvidar”, las respuestas en un formato específico pueden activar la funcionalidad de ejecución remota de código (RCE) .

Mientras que el segundo, es un poco más peligroso ya que, ejecutaba código remoto, el especialista menciona que estas extensiones ocultaban código sutil, donde el mismo se mezclaba con la extensión legitima real:

El segundo grupo no recopila las URL de pestaña de la misma manera que el primer grupo, pero puede ejecutar código remoto. Este segundo grupo parece una versión evolucionada del primer grupo, porque el mismo grupo la lógica se usó para RCE, con más ofuscación que el primero. Todas estas extensiones usaban ocultación de código sutil, donde la funcionalidad de extensión legítima real se mezcla con código aparentemente inocente, distribuida en múltiples ubicaciones y archivos.

Mozilla ha emitido un informe sobre una lista de bugs, donde menciona todas las particularidades encontradas y la lista de complementos que han sido prohibidos, entre los cuales se encuentran:

  • YouTube Download & Adblocker Smarttube.
  • Popup-Blocker.
  • Facebook Bookmark Manager.
  • Facebook Video Downloader.
  • YouTube MP3 Converter & Download.
  • Simply Search.
  • Smarttube – Extreme.
  • Self Destroying Cookies.
  • Popup Blocker Pro.
  • YouTube – Adblock.
  • Auto Destroy Cookies.
  • Amazon Quick Search.
  • YouTube Adblocker.
  • Video Downloader.
  • Google NoTrack.
  • Quick AMZ