Die Anbieter von Add-ons für den Firefox-Browser sichern ihre Software nicht hinreichend, warnt Christopher Soghoian, Sicherheitsforscher und Doktorand an der Indiana University.
Das Problem: Firefox-Erweiterungen wie die Toolbars von Google, Yahoo und AOL nutzen beim Updaten keine sichere Verbindung, schreibt Soghoian in einem Blog. Demnach ist es vor allem in öffentlichen Drahtlosnetzen via "Man-in-the-middle-"Attacken möglich, ein gängiges Update einer verwundbaren Erweiterung heimlich durch als Firefox-Add-on getarnte Malware zu ersetzen.
Das Gros der Add-ons wird dem Wissenschaftler zufolge von Mozillas eigener SSL-gesicherten (Secure Sockets Layer) Site gehostet und aktualisiert, und ist demnach gegen derartige Angriffe geschützt. Anders sieht es offenbar bei einer Reihe populärer Erweiterungen von Drittanbietern aus, die sich über eigene, ungesicherte Server updaten.
Zu den Problemfällen gehören nach Soghoians Untersuchungen unter anderem die Toolbars von Google, Yahoo und AOL sowie die Facebook Toolbar, Ask.com Toolbar und die Netcraft Anti-Phishing Toolbar, aber auch Del.icious Extension und der PhishTank SiteChecker.
Öffentliche drahtlose Access-Points, wie sie etwa auf Flughäfen zu finden sind, erachtet der Forscher als die wahrscheinlichsten "Tatorte" – dort sei es für Hacker ein Leichtes, mit dem eigenen Laptop einen legitimen Update-Server zu imitieren. Im Prinzip sei aber im Prinzip jedes WLAN, das man nicht selbst betreibe, diesbezüglich riskant.
Eigenen Angaben zufolge hat Soghoian Google, Yahoo und Facebook bereits Mitte April über das Sicherheitsrisiko informiert. Bislang habe jedoch keiner der Anbieter etwas dagegen unternommen. Nur wenige Stunden, nachdem der Wissenschaftler seine Untersuchungsergebnisse gestern publik gemacht hatte, habe Google allerdings versichert, das Problem in Kürze zu lösen. Bis die betroffenen Anbieter sichere Updates herausgeben, empfiehlt der Security-Experte, alle Firefox-Erweiterungen beziehungsweise Toolbars, die nicht von Mozillas offizieller Add-On-Site stammen, zu entfernen oder zumindest zu deaktivieren.
Mozilla hat das von den unsicher gehosteten und aktualisierten Add-ons ausgehende Risiko inzwischen bestätigt und deren Entwickler dringend dazu aufgefordert, das Problem zu beheben. (kf)