I’ve present a topic about “Firefox extension spyware” in HIT 2008 conference (Hacks in Taiwan 2008 Conference). The session I showed how dangerous the firefox extension is.
I don’t know why the type of attacking is not fast-spreading yet. Few people know extensions are not just about XUL + javascript, it can connect C++/Java etc. via XPCONNECT; this tell us what C++/Java can do the extension can do also.
I’ve present many attacking tricks, such as phishing, Intranet scanning/attacking, history spying, cookie stealing, download & run remote app/file etc. And finally, online remote control is easy too.
Do you think intranet is always safty? or any firefox extension is safty? No, please don’t.
My suggest is, don’t trust any firefox extension, especially the download/install site is you don’t know.
今年台灣駭客年會(HIT 2008)我有幸被自己的偶像徵求上台的機會。在議場中,我展現了 Firefox extension spyware 可以實現的攻擊手法。
自己心中一直有個疑惑,為何 firefox extension spyware 沒有快速擴散。我想,隨著 firefox 愈來愈多人使用後,這個現象應該會慢慢浮現。
其中,很多人認為 firefox extension 只是 XUL + javascript 的手法,其實不然,extension 可以經由 xpconnect 呼叫 C++ 或 Java 等外部程式,因此它不在受限於 javascript,而且 C++ 或 Java 能做的理論上它都能做到。
在現場,我實際展示釣魚網頁、內網掃描與攻擊、瀏覽紀錄竊取、cookie竊取以及遠端下載/執行惡意程式等手法。並且在最後,為了讓大家認知直接的危險性,我展示 Gmail 的竊取,甚至是遠端控制受害的使用者,只要我下達指令,中標者就會照著我的指令執行。
希望藉此能夠喚醒大家對於 firefox extension 並一定安全的認知。
其它相關字詞:Malicious, Firefox add-on, Firefox malware, Steal password
Posts
No comments:
Post a Comment