طی دو هفتهی گذشته، تیم بررسی add-on Mozilla، 197 افزونهی (add-on) مرورگر #Mozilla را به دلیل اجرای کد مخرب، سرقت اطلاعات کاربر یا استفاده از ابهامسازی جهت مخفیکردن کد منبعشان، ممنوع ساخته است.
Mozilla بهمنظور جلوگیری از نصب جدید این افزونههای مخرب، آنها را از پورتال Add-on حذف و در مرورگرهای کاربرانی که قبلاً آنها را نصب کردهاند، غیرفعال کرده است.
اکثر این ممنوعیتها، مربوط به 129 افزونهی ارایهشده توسط 2Ring (ارایهدهندهی نرمافزار B2B) است. اجرای این ممنوعیت بدین دلیل است که این افزونهها کد را از یک کارگزار راهدور دانلود و اجرا میکنند. در حالیکه طبق قوانین Mozilla، افزونهها باید تمامی کدهایشان را از خودشان داشته باشند و نباید کد را به صورت پویا از مکانهای راهدور دانلود کنند. دانلود کد از یک کارگزار راهدور به عاملین تهدید اجازه میدهد کد مخرب را زمانی که یک بار به صورت پویا از یک کارگزار تحت کنترلشان دانلود میشود، درون مرورگر اجرا کنند.
شش افزونهی ارایهشده توسط Tamo Junto Caixa و سه افزونهای که به نظر میآمد محصولات جعلی حق اشتراک (premium) باشند نیز به دلیل دانلود و اجرای کد راهدور ممنوع شدهاند.
برخی از ممنوعیتها به دلیل جمعآوری غیرقانونی اطلاعات کاربران اعمال شدهاند. کارمندان Mozilla یک افزونهی بینام، افزونههای WeatherPool and Your Social، Pdfviewer-tools، RoliTrade و Rolimons Plus را به دلیل جمعآوری غیرقانونی اطلاعات کاربران ممنوع کردهاند.
این ممنوعیتها به دلیل رفتارهای مخرب افزونهها نیز بر روی آنها اعمال شده است. بازرسان Mozilla، 30 افزونه را که انواع مختلف رفتارهای مخرب را نمایش میدادند، ممنوع کردند. موزیلا فقط شناسههای این افزونهها را ذکر کرده است، نه نامشان. بنابراین توسعهدهندگان این افزونهها میتوانند با حذف رفتار مخرب افزونههایشان، در مورد ممنوعیتشان درخواست تجدیدنظر کنند. یکی از افزونههایی که مراحل تجدیدنظر را پشت سر گذاشته است، افزونهی Like4Like.org است. گویا این افزونه ابتدا اعتبارنامهها یا نشانههای (token) وبسایتهای رسانههای اجتماعی را جمعآوری و به سایتی دیگر ارسال میکرد. رفتار مخرب دیگر، در افزونهی FromDocToPDF کشف شده است. به گفتهی مهندسان Mozilla، این افزونه محتوای راهدور را به برگ جدیدی از Firefox بارگذاری میکرد. افزونهی دیگری از Firefox به نام Fake Youtube Downloader نیز به دلیل تلاش برای نصب بدافزار دیگری در مرورگرهای کاربران، ممنوع شده است.
افزونههایی همچون EasySearch for Firefox، EasyZipTab، FlixTab، ConvertToPDF و FlixTab Search نیز برای بریدن و جمعآوری عبارتهای جستجویی کاربران (یک جرم به وضوح قابل ممنوعشدن) ممنوع شدند.
کارمندان امنیتی Mozilla، دستههای دوتایی، نهتایی و سهتایی از افزونهها را به دلیل استفاده از کد مبهم (روشی که ارایهدهندگان افزونه با استفاده از آن، خواندن کد را بهمنظور مخفیکردن رفتار مخرب افزونه، دشوار میسازند) ممنوع کردند.
به نظر میرسد این حرکت Mozilla در ادامهی بررسی مستحکم او از افزونههای مرورگر بهمنظور حفظ حریم شخصی کاربران است. Mozilla در ماه دسامبر سال 2019 نیز، افزونههای Avast و AVG را از Firefox بدین دلیل که مشکوک به جاسوسیکردن کاربران بودند، حذف کرد.
از آنجاییکه بسیاری از افزونهها توسط ارایهدهندگان شناختهشده نوشته نشدهاند، بنابراین بهتر است هنگام استفاده از آنها دقت بیشتری اعمال شود:
- تا آنجا که ممکن است افزونههای کمتر و تنها از فروشگاههای رسمی نصب شوند.
- نظرات و بازخوردهای کاربرانی که افزونهی موردنظر را نصب کردهاند حتماً مورد بررسی قرار گیرد.
- به اعتبار توسعهدهنده، اینکه چه میزان در مقابل سؤالات مسئولیتپذیر هستند و اینکه هر چند وقت یک بار نسخههای بهروزرسانی را ارسال میکنند توجه شود.
- مجوزهای درخواستشده مورد مطالعه قرار گیرد (در Firefox، Options > Extensions and Themes > Manage) و بررسی شود آیا مطابق با ویژگیهای افزونه است یا خیر. اگر این مجوزها تغییر کردند باید نسبت به آنها مشکوک شد.
- 10