Az internetezők számítógépeinek támadására nem létezik univerzálisan használható recept: egyes kártevők különféle állományok letöltése után manuálisan kerülnek telepítésre, mások netezés közben ismert sérülékenységeket próbálnak kihasználni a böngészőben, vagy annak széles körben használt – Flash, Java, Adobe Reader – bináris beépülőiben.
A népszerű böngészők tudása specifikusan hozzájuk készült kiterjesztésekkel is bővíthető. Ez már első hallásra is érdekes és komoly támadási vektornak tűnik, hiszen a kérdéses bővítmények folyamatosan futhatnak a böngészőben, így elméletileg nagyon hatékonyan lehet(ne) például jelszólopásra használni azokat.
A hazánkban immáron legnépszerűbb Chrome felhasználói, vagy éppen a szoftvert már kipróbáltak valószínűleg tisztában vannak azzal, hogy a Google áruházában megtalálható kiegészítők telepítésekor azok jókora tábora előzetesen engedélyeket kér például a jelszavakhoz vagy könyvjelzőkhöz való hozzáférés esetén.
Sajnos általában nem nyilvánvaló, hogy ezekre az engedélyekre egész pontosan miért van szüksége a bővítményeknek, ám ettől függetlenül hasznos a funkcionalitás, hiszen egy nem kimondottan szakinak is felettébb gyanús lehet, ha egy számológép el kívánja érni a jelszótárolót. Természetesen a Google folyamatosan próbálja szűrni a potenciálisan kártékony bővítményeket, alapesetben automatizált módon.
A Firefox felhasználóinak feltűnhetett, hogy a Mozilla hivatalos bővítménytárából telepített kiterjesztések nem kérnek semmiféle hozzáférési felhatalmazást, amely rendkívül egyszerű oka, hogy a böngésző szimplán semmiféle engedélykéréses rendszerrel sem rendelkezik, a már feltelepített bővítmények mindenhez hozzáférnek. Ez meglehetősen ijesztően hangzik, azonban az informatikai híreket követőknek feltűnhetett, hogy ettől függetlenül rendkívül ritkán érkeznek beszámolók kártékonynak bizonyult Firefox bővítményekről.
Ennek magyarázata újfent egyszerű: a Firefox hivatalos bővítménytárában a felhasználók számára elérhető kiegészítők, továbbá azok összes frissítése többszintű inspekciós fázison megy keresztül. A beépülők és frissítéseik jóváhagyásra való beküldésekor a Mozilla elsőként automatizált módszerekkel próbál fényt deríteni a szoftver működőképességére és megbízhatóságára, a gépi teszten való megfelelés után pedig az alapítvány erre szakosodott munkatársai minden egyes alkalommal átnézik a feltöltött kódot. Amennyiben a bővítmény bármilyen súlyos technikai hibától szenved, nem felel meg a szabályzatnak, vagy gyanús kódrészleteket tartalmaz, akkor megtagadják a bővítménytárban való elérhetővé tételét.
Mindez annyit tesz, hogy a Firefox esetében rendkívül minimális az esélye, hogy például komoly felhasználói bázissal rendelkező kiegészítők új tulajdonoshoz kerülés esetén csendben mutyizni kezdjenek. A Firefox engedélykéréses rendszer nélkül is nyugodtan turbózható kiterjesztésekkel, csupán arra kell odafigyelni, hogy a kiegészítők a hivatalos bővítménytárból származzanak, ezen kívül csak garantáltan megbízható forrásokból szabad bővítményeket telepíteni.
(Forrás: Mozilla | Fotó: Arturo Martinez)
