Come posso verificare se un'estensione / addon sono costituiti da codice malware? È facile rilevare se raccoglie dati sensibili (come spyware), la registrazione di sequenze di tasti e così via? AV può riconoscere l'estensione del malware come "cattiva"? Un'estensione può sfruttare vulnerabilità del browser?
Risponderò a questi separatamente:
How can I check is extension/addon consist of malware code?
Solitamente i componenti aggiuntivi del browser esistono come archivio di file da qualche parte, all'interno dei file dell'applicazione del browser. Puoi scoprire dove facendo una rapida ricerca su Google. Una volta trovato il file, caricalo da qualche parte come VirusTotal. Puoi anche estrarre i file (la maggior parte dei plugin sono semplicemente rinominati in formato .zip o .tar) e scava manualmente il loro codice. Alcuni browser caricano anche DLL come "oggetti helper del browser" (BHO), che possono contenere codice dannoso. Questi possono essere trovati e scansionati allo stesso modo e Autoruns ti dirà quali BHO sono caricati in IE.
Is it easy to detect if it collects sensitive data (like spyware), logging keystrokes and so on?
Dipende dal malware. I keylogger solitamente associano le API relative all'elaborazione delle sequenze di tasti, che la maggior parte dei software AV è in grado di rilevare o prevenire. Esistono comunque altri metodi, quindi non è possibile catturare tutti i meccanismi di registrazione. Lo spyware quasi sempre torna a casa a un certo punto, quindi puoi tenere d'occhio le connessioni di rete insolite nei tuoi log del firewall.
Can AV recognize malware extension as "bad"?
La maggior parte può, sì. Alcuni processano solo eseguibili (exe, dll, sys, ecc.) Su scansioni standard, ma è possibile risolverli eseguendo una scansione completa o completa. Gli scanner in accesso dovrebbero individuare malware noti in qualsiasi file al momento dell'accesso.
Can extension exploit browser vulnerabilities?
Sì, ma a volte non è nemmeno necessario. Nei browser più vecchi (e più scadenti), un plug-in è già codice eseguibile nativo in esecuzione con gli stessi privilegi del browser. I browser moderni tendono a implementare i propri plug-in in un ambiente di scripting in modalità sandbox. Potrebbero esserci delle vulnerabilità in quei motori di scripting che consentono al plug-in di malware di fuoriuscire e scalare.
Leggi altre domande sui tag malware browser-extensions