Las extensiones de los navegadores pueden suponer, en algunos casos, un problema para la seguridad de los usuarios. En el caso de Firefox, también conocidas como complementos, la forma en que se implementan puede ser empleada para comprometer la seguridad de los usuarios.
Las extensiones de este navegador no se ejecutan en un entorno aislado (sandbox), por lo que pueden acceder a los datos o funciones de otros complementos habilitadas en Firefox. De esta forma, una extensión que contenga malware puede acceder a la información de otra para acceder a archivos del sistema o el usuario, o redirigir a este a webs maliciosas.
Entre las extensiones legítimas que pueden ser aprovechadas por las maliciosas están Adblock Plus, NoScript o Video DownloadHelper, así como herramientas para desarrolladores como Firebug y Greasemonkey.
Nick Nguyen, de la estrategia de producto de Mozilla, ha declarado lo siguiente:
La forma en la que estos complementos se implementan hoy en Firefox permite el hipotético escenario presentado en Black Hat Asia. Este tipo de peligros existe, y por ello estamos trabajando en mejorar la seguridad tanto de nuestro producto principal como de nuestra plataforma de extensiones.
Por otro lado, su API WebExtensions implementa ya protecciones contra este tipo de abusos, siendo más seguras que las extensiones habituales, no siendo vulnerables al ataque expuesto anteriormente. Además, comenzarán a ejecutar en entornos aislados las extensiones para que no puedan compartir código.
Vía: SlashGear.