10月25日, Mozilla 开发团队官方博客表示,今年 6 月份,他们就发现了有扩展程序(Add-ons)在滥用 Firefox 浏览器的 Proxy API,该 API 主要用于管理浏览器与互联网的连接方式。
浏览器的扩展程序是可以安装的程序模块,通过这些扩展程序可以丰富浏览器功能,可以提升用户使用体验。据了解,这些扩展通常包括反跟踪软件、广告拦截、浏览器开发工具和文章剪藏等实用工具。
多达45万人受影响
尽管扩展程序是扩展和自定义 Firefox 的强大方式,但是仍有部分扩展程序存在窃取用户数据的安全问题,以及阻止用户浏览器正常工作的恶意行为。
据 Mozilla 开发团队官方公开资料显示,此次发现的扩展程序名为 Bypass 和 Bypass XM,黑客使用 Proxy API 拦截并重定向网络请求从而篡改了浏览器的更新功能,阻止了用户下载更新、更新远程配置的内容,以及访问更新的阻止列表。
换句话说,此次发现的扩展程序会利用该 API 阻止 Firefox 更新,通过使用反向代理来绕过部分网站的付费内容。据 Mozilla 开发团队猜测黑客可能 Mozilla 的域名放在了需要反向代理的列表中,导致无意间阻止了浏览器更新。根据此次调查发现受影响的用户超过 45 万人。
对于普通用户,接下来应该怎么做?
为了防止更多的用户受到扩展程序滥用 Proxy API 的影响,Mozilla 目前已经暂停了对使用 Proxy API 的扩展的审核,直到为所有用户提供修复方法后才会重新开放审核。
Mozilla 开发团队认为把 Firefox 浏览器更新到最新版本是一个最好办法,如果用户使用的是 Windows 系统,那么Microsoft Defender也可以帮助用户解决这个烦恼。
除此之外,Mozilla 开发团队还给出了以下解决方案。
首先,用户需要检查自己正在运行的 Firefox 浏览器版本。如果用户使用的是 Firefox 93或者 Firefox ESR 91.2版本,因为最新版本的 Firefox 浏览器可自动禁用恶意加载项。
如果检查运行的浏览器不是最新版本,并且没有禁用更新,用户可能需要检查自己浏览器是否受到此问题的影响。然后尝试更新 Firefox。如果这些方法都不起作用,有下面几种方法可以解决此问题:
- 搜索有问题的附加组件并将其删除。
- 访问故障排除信息页面。
- 在附加组件部分,搜索以下条目之一:
名称:Bypass
ID:{7c3a8b88-4dc9-4487-b7f9-736b5f38b957}
名称:Bypass XM
ID:{d61552ef-e2a6-4fb5-bf67-8990f0014957}
用户需要确保 ID 与使用这些名称或类似名称的其他不相关加载项完全匹配。如果这些 ID 均未显示在列表中,那么该浏览器就不会受到影响。
如果用户找到这些匹配项,可以按照这些说明删除加载项。
如果以上方法都没用,用户只能重新下载最新版本的 Firefox 浏览器。
Firefox 插件开发人员,又该怎么做?
看到这里,有些读者肯定会问,对于普通用户而言,大不了重新下载一个 Firefox 浏览器。那么作为 Firefox 插件开发人员,应该怎么做?
据了解,Mozilla 官方要求所有需要代理 API 的开发人员,在他们的 manifest.json 文件中包含一个strict_min_version键,目标是“91.1”或更高版本,如下例所示:
“browser_specific_settings”:
{
“gecko”:
{
“strict_min_version”:
“91.1” }
}
在博客最后,Mozilla 开发团队表示: Mozilla 非常重视用户安全,他们会不断改进和改进以保护 Firefox 用户。如果用户发现了一些安全漏洞,也可以通过他们的错误赏金计划进行报告。
对此,你怎么看?欢迎留言评论。
参考链接:https://blog.mozilla.org/security/2021/10/25/securing-the-proxy-api-for-firefox-add-ons/