Miljoenen Firefox gebruikers kwetsbaar door extensies
Miljoenen Firefox gebruikers lopen het risico om gehackt te worden omdat ze allerlei extensies gebruiken. Het gaat met name om commerciële third-party extensies, zoals die van Google, Yahoo, Ask, Facebook, LinkedIn, Del.icio.us, Netcraft Anti-Phishing Toolbar en de PhishTank SiteChecker.
In tegenstelling tot alle extensies die Mozilla aanbiedt, zoeken de commerciële extensies naar updates op servers die geen https gebruiken. Een aanvaller zou, in het geval van een draadloos netwerk, de update check van de extensie kunnen kapen, en zo een kwaadaardig bestand aanbieden. Op deze manier kan de aanvaller het systeem overnemen of vertrouwelijke gegevens achterhalen.
De ontdekking werd gedaan door Christopher Soghoian, de student die eerder al het nieuws haalde met zijn vliegticketgenerator. "Het is wel erg ironisch dat je door het downloaden van een anti-phishing toolbar je jezelf kwetsbaarder maakt dan als je het niet had gedownload. Het was erg eenvoudig te ontdekken, en het heeft me meer tijd gekost om de vendors zover te krijgen dat ze het probleem oplossen," aldus Soghoian. De beveiligingsonderzoeker raadt gebruikers aan om alle extensies die ze niet via de officiële Mozzilla extensie pagina hebben gedownload, te verwijderen.
als je niet weet hoe je ze hebt gekregen.
Ik gebruik geen enkele toolbar en dat is ook nog nooit nodig geweest om
mij goed en veilig over het internet te begeven.
Firefox = Google spyware inside
Er zijn geen volwaardige alternatieven waarin geen onzinnige
shit in is verwerkt.
Hoogtijd voor een firefox fork() zonder Google en andere
partijen erin.
Internet explorer = Microsoft spyware inside
Firefox = Google spyware inside
Er zijn geen volwaardige alternatieven waarin geen onzinnige
shit in is verwerkt.
Hoogtijd voor een firefox fork() zonder Google en andere
partijen erin.
Hey, je vergeet opera en safari af te zuigen...
'k Vind je mening amper ergens op slaan en zeker slecht
onderbouwd.
Internet explorer = Microsoft spyware inside
Firefox = Google spyware inside
Er zijn geen volwaardige alternatieven waarin geen onzinnige
shit in is verwerkt.
Hoogtijd voor een firefox fork() zonder Google en andere
partijen erin.
Hoe kom jij aan firefox dan?
Via google pack ofzo? Of via de website van google;
"Firefox + Google toolbar"
Als je firefox gewoon download via mozilla.com zit
er geen google in, alleen dan maakt het phising filter
gebruik van
google. Maar dat kun je uitzetten.
worden bereikt met alleen een verwijzing in de bookmarks
toolbar. Dan is geen externe en potentieel gevaarlijke code
nodig.
en bij mij zat er gewoon een google toolbar bij :-S
Nee, extenties zijn lek. Dat is net zoiets als zeggen "Ferrari's kunnen
makkelijk gestolen worden"... en dan vervolgens verder gaan met dat als je
alle deuren en ramen open laat staan en de sleutel in het contact laat dat
dan je auto wel eens gestolen kan worden. Bovendien werkt het alleen bij
ongesigneerde extenties EN wanneer je DNS server al geowned is... Nou,
als die al geowned is, hoef je van je extenties niet zo bang meer te zijn.
Dat is toch VRAGEN om moelijkheden? Ik neem aan dat men toch ook
bankzaken en betalingen via een beveiligde lijn doet?
Tsjaaa zeg! Wie haalt nu extensies op zonder een
https-verbinding?
Dat is toch VRAGEN om moelijkheden? Ik neem aan dat men toch
ook
bankzaken en betalingen via een beveiligde lijn doet?
95% van de gebruikers
"Users are most vulnerable to this attack when they cannot
trust their
domain name server."
Ik denk dat je dan grotere problemen hebt dan je Firefox
extensies...
Een spectaculaire titel, meer niet.
Gebruiken die wel https?
Dit is geen probleem met Firefox, dus het is bijzonder
oneerlijk om firefox en niet Google in de titel te gooien.
Firefox heeft genoeg te lijden van authentieke exploits.
netwerk, de update check van de extensie kunnen kapen, en zo
een kwaadaardig bestand aanbieden.
draadloos netwerk komt meestal niet veel verder dan de
buren, dus als je dan wat gebeurd, weet je meestal ook wel
waar het vandaan komt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.