Un componente aggiuntivo o plug-in per Firefox può accedere alle password salvate dei siti Web degli utenti in modalità decrittografata?

14

Andando più a fondo nella domanda precedente su Rischi malware per plug-in e componenti aggiuntivi di Firefox : un componente aggiuntivo di Firefox può potenzialmente decodificare e acquisire le password dei siti Web crittografati salvati nel browser?

    
posta Guillermo 03.08.2011 - 15:25
fonte

2 risposte

10

In Firefox: Sì, assolutamente. Nulla sull'architettura di Firefox impedisce loro di farlo.

Mentre le password sono in teoria "crittografate" mentre sono archiviate su disco, anche la chiave di decrittazione viene memorizzata su disco. Pertanto, qualsiasi software con accesso al filesystem troverà banale decifrare le password memorizzate e accedervi. (Se non vuoi credermi sulla parola, ecco un modo semplice per convincerti che è possibile: il browser Firefox può decrittografarli senza richiedere segreti.)

In Firefox, i plug-in possono eseguire codice nativo, in modo che possano accedere al filesystem. Pertanto, possono afferrare e decrittografare tutte le password memorizzate. Possono anche esfiltrarli sulla rete, se lo desiderano.

In Firefox, le estensioni possono eseguire comandi di shell arbitrari e accedere al filesystem, così anche loro possono afferrare e decrittografare tutte le password memorizzate ed esportarle sulla rete.

Esiste un processo di revisione della luce per le estensioni popolari di Firefox, che potrebbero rendere più difficile per le estensioni non sofisticate montare un simile attacco. Tuttavia, questo processo di revisione può essere facilmente sovvertito dal malware: le estensioni possono caricare dinamicamente il codice da fonti esterne (ad es. Tramite <SCRIPT SRC=...> o eval ) e l'autore dell'attacco può organizzare che il codice caricato esternamente sia benigno durante la revisione e dannoso durante l'esecuzione.

Pertanto, non c'è nulla che impedisca realmente a un plug-in di Firefox malizioso o a un'estensione di Firefox di montare un simile attacco.

(È interessante notare che il sistema di estensione di Chrome offre una protezione migliore contro questo tipo di attacco, per le estensioni.)

    
risposta data 04.08.2011 - 06:39
fonte
2

Una volta eseguito il software non affidabile sul tuo computer, non è più il tuo computer e devi presupporre che tutto sia compromesso. Le password esistono come testo in chiaro a un certo punto - e quindi possono essere catturate e inviate a un utente malintenzionato.

Firefox fa molte cose per rendere più difficile l'acquisizione di tali password - le crittografa (ma questa crittografia è debole); ti consente di proteggerli con una password principale; mantiene il file (parzialmente) crittografato in una directory con un nome casuale; ecc. Probabilmente è più facile attaccare altre parti del sistema; per esempio, ci sono le estensioni di firefox per il keylogging.

Ecco un vecchio documento che parla della sicurezza della password salvata:

link

Ecco un software per attaccare le password di Firefox (ma non come un plug-in dal browser, quindi non rispondere alla domanda)

link

Ecco un link per una buona risposta su superuser:

link

    
risposta data 03.08.2011 - 20:52
fonte