Trojan steelt wachtwoorden van Firefox-gebruikers

De beveiligingsfirma Bitdefender heeft een trojan ontdekt die zich specifiek richt op Firefox-gebruikers. De malware steelt wachtwoorden van telebankiers en doet zich voor als Greasemonkey-extensie.

De trojan staat bekend als Trojan.pws.chromeinject.a en nestelt zich in de add-ons-folder van Firefox. Daarbij doet het trojaanse paard zich voor als Greasemonkey, een populaire extensie die met behulp van scripts de rendering van webpagina's kan beïnvloeden.

Bij elke start van de browser wordt ook de malware actief. Met behulp van javascript herkent het een honderdtal websites van banken en financiële dienstverleners, en wanneer de gebruiker een daarvan bezoekt, registreert de malware wachtwoorden om deze later naar een Russische server te sturen.

De malware wordt inmiddels door de virusscanner van Bitdefender herkend en de concurrentie zal vermoedelijk niet lang op zich laten wachten, maar de Firefox-trojan laat wel zien dat malwareschrijvers hun pijlen niet langer alleen op Internet Explorer richten. Om een besmetting op te lopen, moet de gebruiker overigens wel een besmette website bezoeken of de malware handmatig downloaden. De add-on-website van Mozilla zou veilig zijn, omdat extensies worden gecontroleerd voordat deze te downloaden zijn. Uniek is Trojan.pws.chromeinject.a echter niet: in 2006 wist een trojaans paard met de naam Formspy zich al als extensie in Firefox te nestelen.

Reacties (93)

Anoniem: 256269 5 december 2008 10:36

Voor diegenen die de naam vreemd vinden, chrome heeft niets te maken met de google browser, maar met de interne werking van Firefox.

Als men het ivm Firefox heeft over chrome files gaat het over XUL, JavaScript, and CSS,... die het standaard uitzicht en de werking van Firefox aanpassen.

_{Chrome is the set of user interface elements of the application window that are outside of a window's content area. Toolbars, menu bars, progress bars, and window title bars are all examples of elements that are typically part of the chrome.

The root chrome.manifest is the only thing read for most bundles. XULRunner application bundles also read any additional chrome/chrome.manifest file, but that's "special".}

https://developer.mozilla.org/en/Chrome_Registration

[Reactie gewijzigd door Anoniem: 256269 op 22 juli 2024 14:47]

Canaria @Anoniem: 256269 • 5 december 2008 10:52

Niet alleen in een Firefox context.
Chrome is gewoon een term binnen het GUI- en WCM vakgebied en bestaat al sinds de eerste grafische toepassingen voor computers.

Rob Coops

Beveiliging

5 december 2008 10:28

Telebankieren is en blijft onveilig.
Het is gewoon een feit dat een (thuis) PC nooit zo goed beveiligd is dat het niet mogenlijk is om er een trojan of iets dergelijks op te zetten en dus zullen er altijd mensen zijn die dat blijven proberen, er is nu eenmaal veel geld me te verdienen.

Ik vind de naam geving van het virus wel een beetje vreemd Trojan.pws.chromeinject.a ik had daar toch ff, firefox of mozilla verwacht maar niet de naam van een concurrerende browser.

Cybergamer @Rob Coops • 5 december 2008 10:34

Thuisbankieren is in mijn ogen prima beveiligd.

Als het alleen om een login/wachtwoord zou gaan zou ik je volkomen gelijk geven.
Maar gelukkig werkt dat niet in ons landje en hebben wij SMS/TAN en calculator codes nodig om daadwerkelijk een transactie te kunnen doen.

Mike-RaWare @Rob Coops • 5 december 2008 10:35

Alle bestanden die de gebruikersinterface van Firefox (en andere op XUL gebaseerde software) maken heten chrome.

seal74 @Rob Coops • 5 december 2008 10:39

Telebankieren is en blijft onveilig.

Ik heb nooit gelezen dat er bij de rabobank middels telebankieren geld is gestolen. Echter ik heb wel gelezen dat bij diverse pinautomaten en betaalautomaten de pas werd gekopieerd en de pincode werd onderschept.

Met andere woorden pinnen is gevaarlijker dan telebankieren en dat doen we met z'n alle massaal.

Anoniem: 97644 @seal74 • 5 december 2008 11:01

Gelezen? Ik heb het helaas mogen ondervinden... Gelukkig ben je automatisch verzekerd voor dit soort pas-fraude.

iDeal is 1 van de veiligste betaal-methodes die er bestaat. Ik kan me 1 hack herinneren een paar jaar geleden. Op een nep-banksite (uiterlijk een kopie), kreeg je bij het inloggen een melding "code onjuist", waarna je het nog eens probeerde. Onder water werd met het intikken van de tweede code het leegmaken van je bankrekening bevestigd. Dit hebben ze verholpen door inlog-codes en overboek-codes van elkaar te laten verschillen

creditcards zijn enorm onveilig. Iedereen met een goed geheugen (of camera) die je pasje ziet, kan in principe al geld van je jatten.

hiostu @Anoniem: 97644 • 5 december 2008 11:11

Dat was niet eens een nep-banksite, de trojan die dat veroorzaakte zorgde ervoor dat de site die je in je browser zag veranderd werd. Je ging dus echt naar abnamro.nl, maar op communicatie niveau werd er iets anders getoond. Dat kwam omdat abnamro dezelfde manier gebruikt van authenticatie en het bevestigen van opdrachten.

De nieuwe e.dentifier van de ABN AMRO lijkt meer op die van de Rabobank. Eerst een aparte manier om in te loggen en een challenge-response voor het versturen van opdrachten.

mjtdevries @Anoniem: 97644 • 6 december 2008 10:44

Het grote voordeel van creditcards is weer dat het risico niet bij de klant ligt.

Het pasje is niet voldoende om mee te betalen. De begunstigde is ook verplicht om op nog een andere manier te bepalen wie je bent. bv via identificatiebewijs (paspoort) of door je postcode te vragen (online) of iets dergelijks.

Doen ze dat niet, dan ligt het risico volledig bij hen.

Heel wat mensen kennen voorbeelden van fraude met creditcards. Maar ken je ook voordelen waarbij de eigenaar van de creditcard zijn geld niet heeft terug gekregen? Ik ken alleen maar talloze voorbeelden waarbij de eigenaar zijn geld volledig terug kreeg, zonder veel moeite.

Bij pinpas fraude is dat wel anders. Tot voor kort beweerden de banken gewoon dat het je eigen schuld was, en lag het risico volledig bij de klant.

108886 @Rob Coops • 5 december 2008 13:39

ik zou het toch wel straf vinden mocht iemand mijn gegevens kunnen stelen...

1) geef je abonnementsnummer in (ken ik vanbuiten)
2) voer je paswoord in (ken ik vanbuiten)
3) voer je chipkaart in zon calculator, druk een hoop toetsen en een unieke geserveerde code in
4) voer je pin in op het toestelletje en geef de response code

Dan zit je binnen....

Daarna moet je bij elke bevestiging van transactie stappen 1-2-3-4 opnieuw herhalen...

Als een hacker erin slaagt die beveiligingen te omzeilen... Awel dan verdient hij mijn centen

[Reactie gewijzigd door 108886 op 22 juli 2024 14:47]

vgroenewold @Rob Coops • 5 december 2008 10:35

Dat valt op zich best mee, anders hadden we al veel meer gevallen gezien van oplichting/roof van accounts. Een site als die van ABN werkt met steeds weer wisselende codes, het zou in dat geval alleen nog gevaarlijk kunnen zijn als er iemand live meekijkt, maar dan nog heb je weer andere codes nodig om acties uit te voeren.

Maurits van Baerle

Browsers
Mozilla

@Rob Coops • 5 december 2008 10:38

Chrome is al jaren de naam van de Firefox UI, niets vreemds aan.

Snake @Rob Coops • 5 december 2008 10:58

Het is wel veilig.

Ik moet m'n bankkaart nummer intikken + een hash.

Die hash krijg ik als ik de hash op het scherm in m'n kasje intik, met m'n pin.

Dus no way in hell dat dat onveilig is, want die hash is maar 1 keer bruikbaar.

vgroenewold @Snake • 5 december 2008 11:04

Nou ja, ik kan mij ergens voorstellen dat het onveilig zou kunnen zijn op dat moment zelf...dus als die ene hash geldig is. Zou iemand live meekijken

hiostu @Snake • 5 december 2008 11:12

Dat is geen hash, dat is een encrypted stukje data met een public en private key.

Anoniem: 86020 5 december 2008 10:27

Los van het feit dat het niet echt slim is het wachtwoord van je bank in een browser te bewaren, is dit natuurlijk wel vervelend. Het verbaasd me overigens nog steeds hoeveel banken alleen met een gebruikersnaam en wachtwoord werken. Voor mijn gevoel is beveiliging met wijzigende inlogcodes (e.dentifier ABN AMRO, Random Reader Rabobank) toch veiliger. Of niet?

sys64738 Moderator F&V @Anoniem: 86020 • 5 december 2008 10:50

Het gaat niet om opgeslagen wachtwoorden..... Deze trojan loopt real-time mee, dus zodra je naar je banksite gaat en je wachtwoord intypt om in te loggen, pikt deze extensie hem eruit en schiet em door naar die home-server in Rusland.

Little Penguin

Browsers
Mozilla

@sys64738 • 5 december 2008 11:05

Maar daar heeft men in het geval van steeds wijzigende codes betrekkelijk weinig aan. Verder is het bij diverse banken al zo dat, als er sprake is van een berekende code er bij grote bedragen ook nog eens het bedrag in de sleutel verwerkt wordt.

Erg veel kunnen deze scripts bij de grote Nederlandse banken dus niet aanrichten (gelukkig).

Anoniem: 91169 @Little Penguin • 5 december 2008 11:25

Maar bij hoeveel banken op de wereld buiten ons kleine Nederland om wel?

Anoniem: 245434 @Little Penguin • 5 december 2008 12:30

Ze kunnen beter paypalcodes en creditcardnummers vangen. Banksites hebben inderdaad zelden vaste wachtwoorden voor de feitelijke geldtransacties. Kunnen zien wat een saldo bij de postbank is, betekent nog niet dat je rekening wordt geplunderd.

? ? @sys64738 • 5 december 2008 12:00

Als alle ISP's nu eens zouden samenwerken aan een black list: ip adres op de lijst? Dan blokkeren we het voor onze klanten.

The Zep Man

Netwerk en systeembeheer
Browsers
Mozilla
Beveiliging
Malware

5 december 2008 10:23

De add-on-website van Mozilla zou veilig zijn, omdat extensies worden gecontroleerd voordat deze te downloaden zijn.

Zolang extensies praktisch nooit digitaal ondertekend worden, kan nooit aangenomen worden dat ze veilig zijn. En zelfs bij de meeste (alle?) extensies die gedownload kunnen worden bij Mozilla wordt dit niet gedaan. Als iemand het account van die auteur hackt op mozilla.org (of mozilla.org zelf) en vervolgens een virus-gelade versie van een extensie erop zet, merken de mensen die het installeren er niets van totdat het te laat is.

Hoe vind overigens die controle plaats? Als de broncode niet wordt gecontroleerd, is het prima mogelijk om een time bomb in de betreffende extensie te stoppen. De extensie werkt dan zoals hij zou moeten werken tot een ingesteld tijdstip in de toekomst, waarna het virus actief wordt. Dit werkt het beste met populaire extensies die niet te vaak van updates worden voorzien.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:47]

Kjoe_Ljan @The Zep Man • 5 december 2008 10:52

Firefox zelf is Open Source... Is het niet zo dat, volgens de meeste open source licenties, de add-ons voor een product dan ook open source moeten zijn? Zoiets meen ik een keer gehoord te hebben namelijk.

Dan is de broncode natuurlijk heel simpel op te vragen en te controleren.

Janoz Moderator PRG/SEA @Kjoe_Ljan • 5 december 2008 11:04

Los van of je uberhaupt gelijk hebt (volgens mij druppelt het open source zijn niet door naar de plugins) is het punt meer dat je niet zomaar kunt achterhalen dat de sourcecode die je hebt ook daadwerkelijk bij de plugin hoort. Dat is nu juist het hele punt van het signen. Dan heb je een garantie dat de plugin vandaan komt bij waar die plugin beweert dat hij weg komt.

Kjoe_Ljan @Janoz • 5 december 2008 12:05

Ik ben niet zo thuis in de licenties, dus ik weet ook niet zeker of ik gelijk heb

Bedankt voor de overige informatie. Ik weet dat een ondertekende plugin 'veiliger' is, maar hoe het precies werkt wist ik nooit. Een leerzame comment, waarvoor dank

SiC123 @Kjoe_Ljan • 5 december 2008 12:24

je hebt ook een windows media player plugin voor firefox, en die werkt natuurlijk alleen maar onder windows.
firefox zelf is opensource, alles wat je er verder aan wijzigt of toevoegt is jouw keuze zolang de firefox basis maar beschikbaar blijft als open source.

dus nee, plugins hoeven niet open source te zijn.

en zou dat wel zo zijn dan lap je dat als trojan schrijver heus wel aan je laars.

Anoniem: 28557 @Kjoe_Ljan • 5 december 2008 13:22

Firefox zelf is Open Source... Is het niet zo dat, volgens de meeste open source licenties, de add-ons voor een product dan ook open source moeten zijn?

Nee, dat is absoluut niet waar. Waar jij op doelt is de eis van GPL-achtige licenties, dat afgeleiden van een GPL-product ook GPL moeten zijn, dus als jij de broncode van een GPL-product gebruikt om een nieuw product te maken, dan moet dat product ook GPL worden. Niet alle Open Source licenties hebben die beperking, BSD-achtige licenties hebben die eis niet. Firefox valt overigens onder geen van beide licenties, maar heeft een eigen licentie (Mozilla Public License, die ergens tussen die 2 inhangt).

Overigens is dit niet echt van belang, vanwege wat Ge Someone zegt...

Ge Someone @Kjoe_Ljan • 5 december 2008 12:52

Malware trekt zich niets aan van licenties

Anoniem: 275936 @Kjoe_Ljan • 5 december 2008 14:52

Of plugins van een open source-toepassing ook open source moeten zijn hangt van de gebruikte open-source licentie af...

johnbetonschaar @The Zep Man • 5 december 2008 11:05

Zolang extensies praktisch nooit digitaal ondertekend worden, kan nooit aangenomen worden dat ze veilig zijn. En zelfs bij de meeste (alle?) extensies die gedownload kunnen worden bij Mozilla wordt dit niet gedaan

Volgens mij zijn alle extensies die van Mozilla.org komen digitaal ondertekend, ze worden via HTTPS gedownload en de bron (mozilla.org) wordt geverefieerd met een certificaat.

Wat volgens mij ook hiermee bedoeld wordt:

De add-on-website van Mozilla zou veilig zijn, omdat extensies worden gecontroleerd voordat deze te downloaden zijn.

[Reactie gewijzigd door johnbetonschaar op 22 juli 2024 14:47]

Little Penguin

Browsers
Mozilla

@johnbetonschaar • 5 december 2008 12:01

De extensies zelf zijn niet digitaal ondertekend, maar het transport-medium is wel (dmv SSL) beveiligd.

Verder kun je standaard alleen downloaden van addons.mozilla.org...

vanaalten 5 december 2008 10:24

Om een besmetting op te lopen, moet de gebruiker overigens wel een besmette website bezoeken of de malware handmatig te downloaden

Ik neem aan dat een besmette website met een pop-up of zo komt die die namaak-Greasemonkey aan de gebruiker ter installatie aanbied?

Dan is het nog steeds wel de gebruiker die uiteindelijk de fatale knop indrukt, automatisch gebeurt er denk ik weinig. En daar is dan weinig tegen te beginnen, hooguit een systeem dat alleen gecertificeerde plugins toe staat of zo.

GoBieN-Be @vanaalten • 5 december 2008 12:33

Sterker nog, om een add-on te kunnen installeren van ene niet-mozilla website, moet je eerst expliciet die website gaan toevoegen als vertrouwd en daarna moet je dan op de knop installeren klikken.

Hadron 5 december 2008 10:27

Op welke OS'en werkt deze trojan eigenlijk? Alles waar firefox op draait? Alleen windows?
Edit: Op slashdot wordt geroepen dat't niet van toepassing is op linux en os/x..
Ben eigenlijk wel benieuwd waar dat'm in zit

[Reactie gewijzigd door Hadron op 22 juli 2024 14:47]

Little Penguin

Browsers
Mozilla

@Hadron • 5 december 2008 10:54

Op welke OS'en werkt deze trojan eigenlijk? Alles waar firefox op draait? Alleen windows?
Edit: Op slashdot wordt geroepen dat't niet van toepassing is op linux en os/x..
Ben eigenlijk wel benieuwd waar dat'm in zit

Dat zal 'm waarschijnlijk in de verspreidingsmethod zitten, als je dit script verspreidt via een Win32-executable, dan zal deze niks ergs aan kunnen richten op een non Win-32 systeem.

Op het moment dat je dit virus op hebt kunnen lopen, had je ook veel ergere virussen op kunnen lopen - vanuit het besturingssysteem gezien dan bedoel ik dan. Het stelen van bankgegevens is erg vervelend, maar het totaal formatteren van een HDD of het vernaggelen van je bestanden is minstens zo vervelend - als je daar geen backup van hebt...

hiostu @Little Penguin • 5 december 2008 11:08

Sorry, maar ik heb liever dat mijn HDD volledig gewist wordt, dan dat iemand al mijn geld van mijn bankrekening haalt, omdat hij mijn inlog gegevens heeft van mijn bank. Het gaat hier niet alleen maar om wat gegevens, maar om wachtwoorden.

Little Penguin

Browsers
Mozilla

@hiostu • 5 december 2008 11:24

Als je bij een bank zit waar alleen een vast wachtwoord voldoende is voor het overmaken van geld, dan heb je gelijk - maar welke Nederlandse bank is dat? (Volgens mij geen enkele).

Mocht je voor tig uren aan werk op je systeem hebben staan, dan wordt je ook niet vrolijk als je dat kwijt bent hoor - dan raar je misschien nog liever 1000-10 000 euro aan geld kwijt dan dat je voor een veelvoud werk kwijt raakt...

(Het is allebei erg vervelend...)

[Reactie gewijzigd door Little Penguin op 22 juli 2024 14:47]

hiostu @Little Penguin • 5 december 2008 11:39

Als je tig uren aan werk op je computer hebt staan dan ben je gewoon heel dom als je geen backup hebt. Dus in de meeste gevallen zal het dan alleen om prive dingen gaan.

kozue

Browsers

@Hadron • 5 december 2008 11:10

Ik denk omdat een addon geen standaard manier heeft om de verzamelde data up te loaden (uit security overwegingen). Waarschijnlijk hebben ze een manier gevonden om OS commando's uit te voeren en iets te doen als "exec C:/windows/system32/ftp.exe <parameters>"

[edit:]
Ik vond ook dit in de thread:

This [plugin] is intended to be delivered onto a compromised computer system by other malware for subsequent download into Mozilla Firefox's Plugin folder

Blijkbaar is het dus niet de bedoeling dat de gebruiker een popup krijgt van "wil je dit installeren?", maar dat het achter hun rug om wordt geïnstalleerd op een systeem die al virussen of trojans bevat. Hoe wilde je dat doen op een linux/OS X machine, die uiteraard nog niet besmet is?

[edit2:]
Verderop nog dit:

SYMPTOMS: Presence of the: "%ProgramFiles%\Mozilla Firefox\plugins\npbasic.dll"
TECHNICAL DESCRIPTION: It drops an executable file (which is a Firefox 3 plugin)

Het is blijkbaar een dll, oftewel het is in win32 binary format, niet in firefox native code (javascript ofzo). De plugin zal dus niet eens laden op iets anders dan windows.

[Reactie gewijzigd door kozue op 22 juli 2024 14:47]

Hadron @kozue • 5 december 2008 11:39

Okay.. dan worden alleen de sites herkend en gebruiker/wachtwoord-combinaties uitgelezen met javascript..
Ik was ervan uitgegaan dat de hele boel op javascript werkte, want in dat geval ben ik als linux-gebruiker ook de sigaar.

vgroenewold @Hadron • 5 december 2008 10:33

Ja, vraag ik mij ook af...zijn de extensies voor firefox niet gewoon gelijk op alle OS-en?

Anoniem: 97644 @vgroenewold • 5 december 2008 10:52

Waarschijnlijk wel. Ik voel me hier op Ubuntu niet altijd echt veilig als het gaat om browser-hacks. Javascript is niet hardware-afhankelijk, maar deze draait in de browser (@Zamman, het is echt onzin wat je zegt).
Dus als ik het goed heb begrepen, dan is deze hack cross-platform.. net zoals bijvoorbeeld tracking-cookies zover Firefox dat tegenwoordig toe laat. Dus dan toch maar een apart Firefox-profiel voor bankieren, zoals ze ook Windows-users aanraden?

Anoniem: 110977 @vgroenewold • 5 december 2008 10:40

Ik vraag het me af. Linux en apples draaien op meer dan alleen i386-(64) architectuur. Dus daar zal de trojan ook nog eens rekening mee moeten houden. Verder gebruikt men een keyring voor passwoorden, terwijl dat op Win systemen anders georganiseerd is. Genoeg verklaringen dus waarom het wel op systeem x en niet op systeem y of andersom zou werken.

The Zep Man

Netwerk en systeembeheer
Browsers
Mozilla
Beveiliging
Malware

@Anoniem: 110977 • 5 december 2008 20:13

Ik vraag het me af. Linux en apples draaien op meer dan alleen i386-(64) architectuur. Dus daar zal de trojan ook nog eens rekening mee moeten houden.

Als de trojan alleen code bevat die geïnterpreteerd moet worden (zoals bij Firefox add-ons), dan werkt het op elke architectuur waarvoor de interpreter bechikbaar is (m.a.w.: voor elke architectuur waar Firefox voor beschikbaar is).

Dit blijkt echter voor deze specifieke trojan niet het geval te zijn. Windows-only, tenzij je onder Linux met Wine aan de slag gaat.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:47]

Snake 5 december 2008 10:26

Daarom zouden ze alleen gesignde Add-ons moeten toelaten in Firefox.

Maar wacht, dan krijg je weer dezelfde idioten die klaagden dat Vista geen ongesignde drivers slikte.

Maar voor de gewone thuisgebruiker is deze oplossing wel het gemakkelijkste, zorg ervoor dat Mozilla de extensies checkt, zorg ervoor dat ALLEEN Add-ons vanaf de site van Mozilla geinstalleerd mogen worden (voor de gebruiker: installeer alleen Add-ons vanaf die site), en sign die Add-ons.

kozue

Browsers

@Snake • 5 december 2008 11:03

Signed addons werkt toch niet. Hoe wou je dat gaan afdwingen? Door alles door mozilla te laten ondertekenen? Leuk voor hobbyisten, die iets nuttigs aan het bouwen zijn. Als je dit echt vind na wat verder nadenken, wil je dus ook dat alle internet downloads verboden worden, want het zou wel eens een virus kunnen zijn.
Op het moment is het prima geregeld. Je krijg een melding van firefox als een site een addon probeert te installeren zonder jouw toestemming, en blokkeert het, tenzij je het zelf handmatig toe staat. Als je dan alsnog zo dom bent om expliciet addons te installeren waar je niet zelf om gevraagd hebt, dan is het je eigen schuld en kan ik er geen medelijden mee hebben.

The Zep Man

Netwerk en systeembeheer
Browsers
Mozilla
Beveiliging
Malware

@kozue • 5 december 2008 11:07

Signed addons werkt toch niet. Hoe wou je dat gaan afdwingen? Door alles door mozilla te laten ondertekenen?

Kenmerk van signen is dat dit door de ontwikkelaar gedaan wordt. Zo kan zelfs Mozilla geen wijzigingen aanbrengen zonder de handtekening ongeldig te maken.

Echter, ik ben het met je eens dat het optioneel moet blijven.

SuperDre @The Zep Man • 5 december 2008 13:43

Juist, en wat denk je dat een trojanschrijver dan zal doen? signen is niet zo moeilijk hoor..

kozue

Browsers

@SuperDre • 5 december 2008 14:37

Om te signen als Mozilla, heb je de private key van Mozilla nodig. Die heb je niet. Maar als het optioneel is, sign je het gewoon niet. Probleem ook opgelost

The Zep Man

Netwerk en systeembeheer
Browsers
Mozilla
Beveiliging
Malware

@Snake • 5 december 2008 10:30

Daarom zouden ze alleen gesignde Add-ons moeten toelaten in Firefox.

Maar wacht, dan krijg je weer dezelfde idioten die klaagden dat Vista geen ongesignde drivers slikte.

Dat telt ten eerste alleen voor Vista 64-bit. Ten tweede is er een makkelijke workaround: Vista in Test Mode draaien (eventueel permanent) en gewoon de drivers signen met een zelf gegenereerd certificaat.

En alleen gesignde add-ons toestaan... er wordt nu al een expliciete waarschuwing gegeven bij niet-gesignde add-ons, zelfs in rode letters. Het blijft de verantwoording van de gebruiker, niet van de ontwikkelaar.

JW1

5 december 2008 10:23

Moet je bij Firefox een installatie van een add-on niet altijd expliciet toetstaan? Het lijkt mij dat je bij een geinfecteerde site ewoon niet op 'install add-on' moet klikken.

Little Penguin

Browsers
Mozilla

@JW1 • 5 december 2008 10:29

Natuurlijk moet je, als je via een website het script of een add-on installeert hier bevestiging voor geven. Nu zijn er al legio gebruikers die al erg snel op 'Ja' klikken, maar in hoeverre die ook GreaseMonkey hebben draaien is dan weer de vraag.

Mocht een stukje malware echter op een andere manier verspreidt worden (denk aan de klassieke manier om virussen te verspreiden, dus als payload op een executable file), dan helpen alle beveiligingen van Fx zelf dus niet.

Tegen verspreding via de klassieke methode is er overigens heel weinig te doen, behalve de mogelijkheden van de browser beperken. (Maar dan kun je geen add-ons meer installeren en is een voordeel van Fx te niet gedaan)

IStealYourGun @Little Penguin • 5 december 2008 11:03

Een valse website en een beetje social engineering zou best wel lukken.
Stuurt mailtje naar mensen die FF gebruiken en zegt dat je een goede add-on gevonden hebt en stuurt hen vervolgens naar de 'developer' website, maar eigenlijk is het gewoon een valse website. Het verspreiden van die handel is niet het moeilijke stuk.

Ik stel me eerder de vraag waarom er nog zoveel banken zijn die met passwoorden werken, als bank zou je toch verwachten dat je klanten zo goed mogelijk probeert te beschermen. Ik gebruik een soort token systeem, klein apparaatje, steekt je kaart er in, pin + challenge intikken en dan de response typen.

Little Penguin

Browsers
Mozilla

@IStealYourGun • 5 december 2008 11:08

Een valse website en een beetje social engineering zou best wel lukken.
Stuurt mailtje naar mensen die FF gebruiken en zegt dat je een goede add-on gevonden hebt en stuurt hen vervolgens naar de 'developer' website, maar eigenlijk is het gewoon een valse website. Het verspreiden van die handel is niet het moeilijke stuk.

Nu zit er standaard in Fx ook functionaliteit om dit soort sites te blokkeren, dus dit soort lekken kunnen redelijk snel gedicht worden.

Verder zullen dat soort mailtjes al snel als spam aangemerkt worden omdat je toch naar een vaste URL moet gaan en daarop kunnen anti-spam oplossingen dan weer filteren...

robvanwijk

Beveiliging
Malware
Netwerk en systeembeheer

@IStealYourGun • 6 december 2008 17:47

Er zijn twee redenen dat banken nog steeds met passwords werken:

Ten eerste kun je gewoon uitrekenen wat goedkoper is, met passwords werken en af en toe een paar gebruikers schadeloos moeten stellen, of al je klanten zo'n token moeten geven.

Ten tweede ben je niet de enige op de markt, er zijn een heleboel online banken. Als je bij bank X "altijd moet zeuren met zo'n token en dan doen ze ook nog moeilijk over lange passwords" dan ga je toch gewoon naar bank Y "daar kan ik tenminste gewoon mijn PINcode als password gebruiken!". Is dat hardstikke stom? Ja, maar het is wel hoe veel gebruikers denken. Ik heb ooit gehoord dat ze in (IIRC) Italië een wet hebben die voorschrijft hoe lang passwords voor online bankieren minimaal moeten zijn (de minimum lengte die een bank mag accepteren), juist om dit probleem op te lossen.

daft_dutch @JW1 • 5 december 2008 11:20

Moet je bij Firefox een installatie van een add-on niet altijd expliciet toestaan? Het lijkt mij dat je bij een geinfecteerde site ewoon niet op 'install add-on' moet klikken.

Het is geen ADDON Het nestelt zich gewoon in de map met extensies. Of het überhaupt firefox gebruikt om zich te installeren is onbekend.

Moortn

5 december 2008 10:24

Waarschijnlijk komt er wel een update die het bestand blokkeert. Ook raar dat het Trojan.pws.chromeinject.a heet en voor firefox bedoeld is

Bijsterz @Moortn • 5 december 2008 10:30

de UI van je browser word vaak "chrome" genoemd. kijk maar eens in FF in about:config.

PegOpDeWeg 5 december 2008 10:26

ik verwacht een firefox update binnen niet al te lange tijd. Tenminste... daar hoop ik op!

kozue

Browsers

@PegOpDeWeg • 5 december 2008 11:07

Waarom een update? Firefox doet hier niets verkeerd. De installatie van addons van onbekende sites wordt standaard geblokkeerd. De enige manier waarop je deze trojan kan krijgen is door het zelf expliciet toe te staan (= gebruikers handeling). Dit is geen firefox bug, dit is PEBKAC.

Anoniem: 252581 @kozue • 5 december 2008 13:38

Zelfde punt met AcitveX is het extentiesysteem net zo onveilig als de zwakste schakel (de gebruiker). Ben ik blij dat ik geen FireFox gebruik!

kozue

Browsers

@Anoniem: 252581 • 5 december 2008 14:40

Het verschil met activex is, dat activex low-level OS toegang heeft en mozilla add-ons in een browser sandbox lopen. Dat is inderdaad genoeg om data van websites te loggen, maar in tegenstelling tot activex kun je met firefox addons niet zomaar even een systeem dll vervangen.
Ben ik blij dat ik geen windows gebruik!

YopY @PegOpDeWeg • 5 december 2008 10:51

Dat ze een blacklist van onveilge extensie inbouwen? Ik weet niet of ze daar aan willen beginnen,

Anoniem: 100904 @YopY • 5 december 2008 14:04

Dat ziet er al in... Mozilla kan centraal extensies blokkeren.

Op dit item kan niet meer gereageerd worden.

Trojan steelt wachtwoorden van Firefox-gebruikers

Lees meer

Reacties (93)

Sorteer op:

Weergave: