Firefox Security Add-on em dispositivos 222k encontrados enviando dados de navegação para servidor alemão remoto

Notícia
Segurança / Firefox Security Add-on em dispositivos 222k encontrados enviando dados de navegação para servidor alemão remoto 1 minuto lido

Neowin



Existe um complemento de navegador popular que é instalado por 222.746 usuários do Firefox de acordo com as próprias estatísticas da Mozilla de downloads de complementos. De acordo com um blogueiro de segurança alemão, Mike Kuketz, e o autor do uBlock Origin, Raymond Hill, este add-on em particular tem espionado a atividade dos usuários acessando o histórico do navegador e rastreando as páginas da web que eles visitam. Este add-on é a extensão Web Security para o navegador Mozilla Firefox.

Segurança na web foi projetado para proteger os usuários de ataques de phishing e malware online que podem roubar informações pessoais. Isso soa tão irônico quanto a extensão é considerada antiética (trocadilho intencional) em suas próprias informações, evitando sua privacidade sem o seu consentimento. A razão pela qual esta notícia está chegando às arquibancadas é que o add-on foi divulgado pela própria Mozilla em um blog na semana passada. O add-on possui críticas fantásticas e é por isso que é tão amplamente usado por tantas pessoas também.



Mozilla's postagem do blog foi rapidamente retirado depois que Hill descobriu esta falha no add-on e trouxe à tona no reddit dizendo que a extensão postaria em http://136.243.163.73/ para cada página da web carregada no navegador. Ele continuou, dizendo que os dados postados não foram decifrados neste momento, e ele pediu a outros analistas de segurança que os investigassem. Ontem, Kuketz notou a mesma peculiaridade e a investigou ainda mais para descobrir que os URLs visitados dos usuários estavam sendo configurados para um servidor alemão.



Embora alguns aplicativos usem dados de URL para pesquisar ameaças em potencial, nenhuma pesquisa desse tipo envolve a transmissão de dados para um local de servidor remoto. Olhando para o código (abaixo), descobriu-se que não apenas o add-on registrava os hábitos de visitação da página da web dos usuários, mas também registrava-os contra IDs de usuário para avaliar seus padrões gerais de navegação Essa análise e coleta de dados são desnecessárias para o propósito a que se destina a extensão. Dois add-ons semelhantes, Stylish e Web of Trust, foram banidos por coletar informações da mesma forma, mas o Web Security não foi banido ainda.