Vuelve a ocurrir. Un plugin para el navegador Firefox, alojado en la página
oficial de Mozilla, estaba siendo utilizado para robar las contraseñas de
los usuarios que lo utilizaran. También se ha hecho público que otro plugin
contenía una grave vulnerabilidad que permitía la ejecución de código en el
navegador. Es la cuarta vez que Mozilla sufre un incidente de seguridad
relacionado con sus extensiones y complementos.
Uno de los mayores
atractivos de Mozilla Firefox es la capacidad de extender su funcionalidad
casi indefinidamente gracias a las extensiones. Existen miles, muy útiles,
que han popularizado el navegador y lo han convertido además en una
herramienta muy potente. Pero en esta ventaja radica también una de sus
debilidades: la facilidad por parte de terceros para crear extensiones y
alojarlas en la web oficial de Mozilla se está convirtiendo en un problema
para los desarrolladores, que de nuevo han alojado una extensión peligrosa
en addons.mozilla.org.
Mozilla Sniffer, una extensión disponible
desde el 6 de junio en la página oficial, enviaba las contraseñas que el
usuario introducía en los formularios a un sitio remoto, con el fin de
robarlas. Era publicitada como una modificación del plugin TamperData. El
problema ha sido descubierto el 12 de julio, y en ese espacio de tiempo ha
sido descargado unas 1.800 veces. Mozilla alega que se encontraba en un
estado «experimental», pero el problema va más allá.
En mayo de 2008
la Fundación Mozilla distribuyó por error el plugin del idioma vietnamita
infectado con adware. Aunque prometió literalmente «analizar más a menudo
sus archivos para evitar que esto vuelva a ocurrir», volvió a ocurrir en
febrero de 2010. La fundación Mozilla informaba de que dos complementos
«experimentales» para el navegador Firefox contenían troyanos para Windows.
Entonces escribíamos en una-al-día: «hoy en día las firmas pueden tardar
meses, como ha sido el caso, en ser añadidas y poder detectar (de forma
estática) un archivo infectado. No sabemos qué métodos usa Mozilla para
analizar sus archivos, pero el añadir nuevos métodos antivirus puede mitigar
el problema aunque no tiene por qué solucionarlo.»
Efectivamente, no
lo ha solucionado. El problema con Mozilla Sniffer y por lo que ha pasado
desapercibido para los antivirus, es que se trataba simplemente de una
extensión programada específicamente para robar contraseñas silenciosamente.
Solo una revisión pormenorizada del código, sin automatismos, hubiese
revelado la funcionalidad oculta. Esto ataca directamente a la raíz del
problema «de toda la vida» de la detección vírica: ¿qué es «malware»?
Cualquier cosa programada con malas intenciones sin hacer partícipe al
usuario. Desde luego, el malware no es exclusivamente «lo que detectan los
antivirus», idea que un marketing agresivo y a veces irresponsable de las
casas antivirus han incrustado en el usuario medio. Si Mozilla solo analiza
sus complementos con antivirus asiduamente, estaba mitigando el problema,
pero no lo solucionaba: detectará lo conocido y dejará pasar cualquier
funcionalidad oculta específicamente diseñada, como ha ocurrido.
En
defensa de Mozilla hay que decir que en su repositorio deja claro que
ciertas extensiones no han sido verificadas, o que el autor es
desconocido… en estos casos se delega en el usuario la responsabilidad
de utilizar el código en entornos de producción. Pero todos sabemos que
trasladar la responsabilidad al usuario no siempre acarrea buenos
resultados.
Además, se ha detectado que el add-on CoolPreviews,
contenía una vulnerabilidad que permitía la ejecución de código. La versión
vulnerable ha sido descargada 177.000 veces.
Mozilla ha bloqueado
estas extensiones, y anuncia que mejorará su proceso de validación y
publicación, reconociendo implícitamente que se están cometiendo errores. A
partir de ahora (de nuevo, a posteriori) dice que revisarán exhaustivamente
el código antes de poner a disposición de todos una extensión en su web.