Ontwikkelaar achter verwijderde Firefox-beveiligingsextensie geeft fouten toe

De ontwikkelaar van de Firefox-extensie Web Security geeft toe fouten gemaakt te hebben en biedt zijn excuses aan. Mozilla had de extensie in eerste instantie in een blogpost aangeraden, maar verwijderde de vermelding en later ook de extensie zelf na kritiek.

Fabian Simon, die leiding geeft aan het ontwikkelbedrijf Creative Software Solutions, heeft in een reactie op de bug tracker van Mozilla en in een e-mail aan Heise gereageerd op het feit dat Mozilla de extensie Web Security heeft verwijderd. Hij schrijft dat er fouten zijn gemaakt en dat hij zijn excuses aanbiedt. Zo was er bijvoorbeeld geen versleuteling van netwerkverkeer aanwezig, wat inmiddels is aangepast. De extensie zelf is echter niet langer te vinden tussen de Firefox-add-ons, nadat Mozilla de vermelding ervan al uit een blogpost had verwijderd na kritiek.

Zo bleek dat de extensie ook de door gebruikers bezochte sites doorstuurde, bijvoorbeeld de site waar de gebruiker vandaan kwam en waar deze naartoe ging. Volgens Simon was dit nodig om heuristics and threat analysis te verbeteren. Hij claimt dat de doorgestuurde gegevens maximaal vijftien minuten op de servers van zijn bedrijf werden opgeslagen. Ook bleek na een analyse dat er een mogelijkheid bestond om op afstand code uit te voeren via de extensie. Hierover zegt hij dat het om oude code ging die was bedoeld om de gebruiker van 'kritieke dreigingen' op de hoogte te stellen.

Mozilla had na de ontdekking van het gedrag van Web Security in totaal 23 extensies verwijderd, waaronder ook andere extensies van Creative Software Solutions. Dat gebeurde bijvoorbeeld omdat de extensies meer data verzamelden dan nodig. Simon belooft nu dat er aanpassingen zijn gedaan in een nieuwe versie van de extensie. Het is onduidelijk of Mozilla de verspreiding naar aanleiding van de wijzigingen weer toestaat.

Reacties (40)

swtimmer 20 augustus 2018 14:39

Wel een probleem van veel extensies. Enorm veel permissies vragen en voor de gebruiker niet echt duidelijk wat nu precies bijgehouden wordt.

CAPSLOCK2000

Beveiliging en antivirus
Security

@swtimmer • 20 augustus 2018 14:58

Wel een probleem van veel extensies. Enorm veel permissies vragen en voor de gebruiker niet echt duidelijk wat nu precies bijgehouden wordt.

De ellende is dat veel gebruikers het eigenlijk ook niet echt kunnen begrijpen. De meeste mensen hebben echt geen flauw idee hoe het allemaal samenhangt. Die kunnen niet inschatten of een bepaalde app of extensie toegang nodig heeft tot je lokale storage of het netwerk en wat daar de gevolgen precies van zijn.

Misschien moeten we het model een beetje aanpassen en niet vooraf om toestemming vragen, maar pas op het moment dat de applicatie gebruik wil maken van een of ander recht. Ik geloof dat Android het tegenwoordig ook al zo aanpakt. Ik wil echter nog een ding aanpassen, ik wil dat de gebruiker een concreet voorbeeld te zien krijgt van de data die wordt opgevraagd aangepast.
Dus niet "Deze applicatie wil je storage uitlezen. OK?", maar "Deze applicatie wil DIT plaatje uploaden. Mag dat?" Zodat de gebruiker niet zelf hoeft te raden om wat voor data het gaat.

Als laatste onderdeel zou je nog een AI kunnen toevoegen die de keuzes van de gebruiker leert en op grond daarvan zelf een inschatting kan maken of een bepaald recht gewenst is of niet. De vraag of die AI ook zelf acties mag ondernemen stel ik maar even uit tot de AI zich in praktijk heeft bewezen (of niet).

Berlinetta @CAPSLOCK2000 • 20 augustus 2018 18:12

Als hij "dit plaatje" wilt uploaden heb je toch als eerst toegang nodig omdat plaatje te kunnen zien?

CAPSLOCK2000

Beveiliging en antivirus
Security

@Berlinetta • 20 augustus 2018 18:30

Ik verwacht dat het OS hier bij helpt, net zoals een applicatie aan het OS kan vragen om de gebruiker extra rechten te geven (bv na invoeren van het wachtwoord). Je kan niet niet aan de applicatie zelf overlaten, die kunnen we immers (nog) niet vertrouwen. Een kwaadwillende applicatie kan braaf om toestemming vragen en vervolgens iets heel anders doen. Dat is niet acceptabel, het moet dus een functie zijn van het OS. Dan moet je wel het OS kunnen vertrouwen, maar dat moest je toch al.

Het kan twee niveau's werken. Het ene niveau is dat je een applicatie toegang geeft tot je data. Het andere niveau is dat je een applicatie toestemming geeft om informatie door te sturen.
We hebben allebei nodig, en in beide gevallen zal het OS het moeten afdwingen. Wellicht kan de applicatie wat hints aanleveren, maar het OS mag daar niet blind op vertrouwen, de applicatie kan immers liegen.

kaas-schaaf @CAPSLOCK2000 • 20 augustus 2018 17:06

Dit laatste (specifiek duidelijk maken waarvoor) word op iOS vanaf ik dacht versie 10 al verplicht. Het is aan de programmeur om hier een zinvolle invulling aan te geven. Voorbeeld: "De applicatie wil toegang tot de camera voor het scannen van QR codes"

Verwijderd @CAPSLOCK2000 • 20 augustus 2018 23:11

Dit lijkt me inderdaad het beste model, zoals iOS het al jaren doet: de app vraagt permissie op het moment dat het iets nodig heeft. Je weet dan de volledige context en kunt het beste beoordelen of het geoorloofd is.

Een zaklamp ap die mijn contactenlijst wilt weten slaat nergens op, als voorbeeld. Ook in dit model kun je overigens nog teveel weggeven. Stel een camera app die toegang wil tot je fotos. Logisch, op zich. Vervolgens geef je ook meteen je lokatie geschiedenis weg, omdat die uit de foto's te halen zijn.

Gomez12 @Verwijderd • 21 augustus 2018 20:56

Dit lijkt me inderdaad het beste model, zoals iOS het al jaren doet: de app vraagt permissie op het moment dat het iets nodig heeft. Je weet dan de volledige context en kunt het beste beoordelen of het geoorloofd is.

Dat model is nog steeds extreem slecht. Het probleem is dat ik als programmeur gewoon kan bijhouden of ik ergens permissie voor heb en zonee dan vraag ik er ook niet om totdat ik een legitieme toepassing bedacht heb (custom achtergrond vanuit je foto's bijv). En als ik dan die toestemming heb dan buit ik hem helemaal uit.

Caseum @swtimmer • 20 augustus 2018 14:43

Helemaal mee eens. En ze weigeren wil niet want dan kun je de extensie niet gebruiken.
Hierdoor heb je weinig keus.

Verwijderd @Caseum • 20 augustus 2018 14:47

Vraag me af waarom ze niet aan fake permissies doen. Zo kun je apps die rare permissies willen gebruiken door ze neppe data door te geven.

Android heeft het volgens mij wel met behulp van Xposed.

Cerberus_tm

@Verwijderd • 20 augustus 2018 15:10

Met Xprivacy op Xposed inderdaad. Werkt meestal wel prima.

Cerberus_tm

@Caseum • 20 augustus 2018 15:11

In Firefox heb je volgens mij wel al permissies die je kunt weigeren terwijl de extensie dan verder wel werkt (behalve de specifieke functie die die permissie nodig heeft).

LocK_Out 20 augustus 2018 14:44

klinkt meer als "damage control" dit.

ShellGhost @LocK_Out • 20 augustus 2018 14:51

Het is ook damage control 101.
De halve infosec wereld viel over hun heen, dus ze moesten wel met krokodillentranen reageren...

poktor @ShellGhost • 20 augustus 2018 15:05

Eens. Helaas voor hem heeft hij nu bewezen onbetrouwbaar te zijn. Einde verhaal voor hem. Niemand zal hem meer geloven.

OddesE @poktor • 21 augustus 2018 10:55

Jawel. Hij heeft dit al vaker gedaan. En is ook al vaker gepakt...

Overigens: de add-on stuurt een post request bij elk website bezoek maar komt toch probleemloos in de store terecht? Je zou toch denken dat dat wel op zou moeten vallen bij een check van een add-on? Kijkt Mozilla echt helemaal niet naar wat er in de store staat?

kodak

Beveiliging en antivirus

@ShellGhost • 20 augustus 2018 22:00

Waarom zijn het volgens jou krokodillentranen?

Als de iemand kritiek heeft en een ander heeft een verweer, wat is daar vreemd aan?

Er is ook kritiek op de kritiek. Dat security software het gedrag van gebruikers analyseert en daarbij zelf bepaald wat wel of niet belangrijk voor de analyse is is voor de een discutabel en voor de ander heel gewoon. Mozilla geeft ook aan dat het niet ongewoon is hoe de service werkt.
En de definitie van wat transparant zijn is en hoe ver dat moet gaan is er ook niet dus daar verschillen de meningen ook over.
Data werd deels beveiligd en deel niet beveiligd verzonden. Wat niet beveiligd werd verzonden was voor zover ik weet een hash. Ik zie niet in waaruit moet blijken dat het onbeveiligd verzenden moedwillig was.
De bewering dat de extensie mogelijk gebruik kan worden om code uit te voeren lijkt nog steeds geen onderbouwing te hebben. Waarom zou ik iemand geloven die maar iets roept en geen onderbouwing geeft.

Wim-Bart @LocK_Out • 20 augustus 2018 14:49

Sterker nog, hij dacht waarschijnlijk dat hij er mee weg kon komen, en opeens is zijn hele "bedrijfje" dood.

Oerdond3r @LocK_Out • 20 augustus 2018 18:40

Sowieso ook "Damage Control" aan Mozilla's kant. Eerst prijzen ze de extensie aan, na reeds bestaande kritiek. Vervolgens krijgen ze kritiek daarover en halen ze die van hun blog af. Besluiten ze vervolgens toch maar eens deze en andere extensies van het bedrijf te verwijderen.

Goed dat het gebeurt, maar wel heel erg achteraf. Zijn er niet meer extensies die dit soort gedrag vertonen en verwijderd moeten worden in de plug-in store? Misschien een wat actiever beleid met betrekking tot extensies hanteren, zodat je niet maar 1 bedrijf benadeeld, alleen omdat je die zelf in een eerder genoemd blog vermeld had?

Nogmaals ik ben heel blij dat ze dit bedrijf hebben aangepakt, de tracking was heel shady. Maar er was nooit bewezen dat ze wat kwaads in de zin hadden met die verzamelde data.

OddesE @Oerdond3r • 21 augustus 2018 10:57

Ja inderdaad zeker pure damage control van Mozilla. En een post request bij elk website bezoek had toch eigenlijk echt wel op moeten vallen ALS men de extensie getest zou hebben toch?

Extensies hebben best veel permissies binnen de browser dus ik snap niet dat ze die niet beter checken voordat ze in de store mogen.

kodak

Beveiliging en antivirus

@LocK_Out • 20 augustus 2018 20:33

Als er iets fout gaat en er komt een erkenning, dan is dat altijd damage control. Dus doe je hier een generieke opmerking of een verwijt?

LocK_Out @kodak • 20 augustus 2018 21:56

Een generieke opmerking met een verwijt

The Zep Man

Beveiliging en antivirus
Browsers
Security
Mozilla

20 augustus 2018 14:48

Simon belooft nu dat er aanpassingen zijn gedaan in een nieuwe versie van de extensie.

Die hele extensie is overbodig. Web Security is/was een extensie die toegang tot vermeende onveilige websites blokkeerde. Zoiets is ook prima te doen met een blocklist die je bijvoorbeeld aan uBlock Origin kan toevoegen.

StefanTs @The Zep Man • 20 augustus 2018 14:54

Dus omdat er een alternatief is is het overbodig? Zo kan ik vele producten bedenken die dan overbodig zijn.

The Zep Man

Beveiliging en antivirus
Browsers
Security
Mozilla

@StefanTs • 20 augustus 2018 15:04

Dus omdat er een alternatief is is het overbodig?

Nee. Omdat het een gesloten extensie is met een onveilig ontwerp. Het is makkelijk te vervangen door een open extensie met een veilig(er) ontwerp, die veel mensen toch al geïnstalleerd hebben om surfen op het web dragelijk te maken.

Ook is het gebruik van minder extensies veiliger, omdat daarmee het potentieel aanvalsoppervlak verkleind wordt.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 01:39]

Archcry @The Zep Man • 20 augustus 2018 15:10

Dan is overbodig misschien niet het juiste woord om het te beschrijven.

tomz_ @Archcry • 20 augustus 2018 15:34

Ik vind 'overbodig' een goed woord hier omdat dit een opgelost probleem is, een probleem wat tevens door een groot aantal plugins beter opgelost is en deze dat al vele jaren doen.

Wat duidelijk moet zijn is dat het geheel Ok is om een overbodige plugin te schrijven en te proberen te verkopen. Er zijn heel veel voorbeelden waar dit in het dagelijks leven gebeurt.
En er zijn nog steeds mensen die erg graag met hun geld of hun privacy betalen voor een gevoel van veiligheid.

Betekend nog steeds dat de plugin overbodig was.

supersnathan94 @tomz_ • 20 augustus 2018 15:58

Is dat zo? Ik weet verder niet wat beide plugins als core functionaliteit bieden, maar kennelijk was er in deze plugin ook een functie beschikbaar die gebruikers direct van kritieke waarschuwingen kon voorzien. Ik weet niet of ublock Oiets ook heeft, maar het punt is meer dat je aan de summiere functionele beschrijving hier niet heel veel aan hebt om te vergelijken en te stellen dat iets overbodig is en door anderen beter is gedaan.

tomz_ @supersnathan94 • 20 augustus 2018 18:10

Belangrijk om te begrijpen dat een product dat overbodig is niet een product is dat mensen iets tegen hebben, of zelfs aangeven dat ze het niet goed vinden dat het geschreven wordt.

"Overbodig" is niet een negatieve indicatie.

Het is alleen belangrijk om te weten als je (en in dit geval Firefox) er over schrijft of het zelf beslist te downloaden.

jimzz @tomz_ • 20 augustus 2018 20:54

Wat de beste man dus bedoelt is, dat wanneer er al 5 rekenmachines in de app store staan met exact dezelfde functies, dat die 6e met een andere kleur overbodig is. Want app nummer 6 doet exact hetzelfde als app nummer 2, maar dan in het groen ipv blauw.

Dat er meer keuze is is altijd goed, maar de “extra” keuze moet dan ook benoemenswaardig zijn. Een app (extension in dit geval) moet zich onderscheiden van de rest. Bijvoorbeeld: de meeste ad-blocker extensions doen exact, maar dan ook echt exact hetzelfde. Enige verschil dat ze dan hebben is dat ze andere databases gebruiken.

supersnathan94 @tomz_ • 21 augustus 2018 07:37

Mijn punt is alleen dat je met de summiere info die hier wordt gegeven niet kunt stellen dat het product overnodig is doordat je niet weet wat voor extra functionaliteiten of verbetering hebt. In dat geval was chrome in haar beginjaren kompleet overbodig want het deed exact hetzelfde als andere browsers met exact hetzelfde stuk software als andere browsers.

Zo was safari voor windows niet per se een browser waar je als gebruiker veel mee kon. Het was een prima snelle browser die veel van de laatste technieken ondersteunde, maar toen chrome eenmaal groot was bleek dat het doel van safari ergens anders lag. Webkit promoten. Chrome heeft dit doel uiteindelijk verwezenlijkt en Apple heeft toen ook gezegd dat ze safari voor windows als overbodig bestempelden door het succes van chrome. Ontwikkeling is toen ook stopgezet.

Dus. Zomaar stellen dat iets overbodig is zonder enkele onderbouwing waarom is een beetje moddergooien.

tomz_ @supersnathan94 • 21 augustus 2018 13:03

Je hangt nog steeds op het idee dat als iets overbodig is dat dat iets slechts is. En dat ze nooit beter kunnen worden ofzo.

Die connectie is door niemand gemaakt, die emotionele connectie alleen door jou gemaakt.

Anyway, end of topic.

supersnathan94 @tomz_ • 21 augustus 2018 21:14

Nee helemaal niet. Ik maak helemaal geen emotionele connectie. Ik geef alleen aan waarom de redenatie om iets overbodig te verklaren in dit geval nergens op slaat. Volgens de OP is het overbodig omdat er een veiliger en open alternatief voor is “die veel mensen toch al geïnstalleerd hebben staan”. Zoals ik dus aangeef kun je dat niet stellen zonder de functionaliteit of gebruiksgemak te vergelijken en dat vergelijkingsmateriaal hebben we hier niet. Tenminste. Niet in het artikel en niet in de posts hier. Derhalve weten we ook niet wat het doel is van de extensie. Misschien is het idee juist dat het een gebruiksvriendelijkere extensie is dan alternatieven of dat er een sneller en beter waarschuwingssysteem in zit waardoor je minder vatbaar bent voor phishing websites of malware verspreiders.

The Zep Man

Beveiliging en antivirus
Browsers
Security
Mozilla

@Archcry • 20 augustus 2018 15:47

Dan is overbodig misschien niet het juiste woord om het te beschrijven.

Of misschien wel. Als het op elk denkbaar vlak slechter is dan iets anders, dan is het overbodig. Het brengt zelfs geen concurrentie, omdat het op geen enkel vlak concurreert.

kodak

Beveiliging en antivirus

@The Zep Man • 20 augustus 2018 21:00

Dat software niet aan jou eisen voldoet maakt de software nog niet in het algemeen overbodig. Er is/was bewezen een markt gezien de installaties en ondanks al je argumenten.

Tweekzor @The Zep Man • 20 augustus 2018 14:55

Dat is iets wat elk fatsoenlijk anti-malware product al jaren voor je doet.

iew @The Zep Man • 20 augustus 2018 15:01

Blokkering van kwaadaardige websites doet mijn anti malware/virus programma al, dus waarom deze extensie ?
Simon kan nu wel opdoeken denk ik...

kodak

Beveiliging en antivirus

@iew • 20 augustus 2018 21:29

Omdat geen enkele security service ooit 100% veiligheid geeft. De resultaten zijn sterk afhankelijk van de omstandigheden. Soms kan het geen kwaad om op meerdere diensten te vertrouwen om je te beschermen.

iew @kodak • 20 augustus 2018 21:59

Tuurlijk daar heb je helemaal gelijk in, die gebruik ik ook wel in de vorm van andere plugins/addons en hoop dan zo veilig mogelijk te zijn, meer kun je niet doen.

OddesE 21 augustus 2018 10:52

Fabian lijkt dit vaker geflikt te hebben:

Ein aufmerksamer Leser dieses Blogs hat uns darüber in Kenntniss gesetzt, dass über das deutsche Downloadportal soft-ware.net derzeit modifizierte Versionen der dort verfügbareen Programme und Tools angeboten werden. Die zum Download angebotenen Programme liegen dabei nicht wie üblich auf den Servern von soft-ware.net, sondern werden unter der domain softwarewarenet.net bereitgestellt.

Die Domain softwarewarenet.net ist noch recht neu und wurde erst am 27.07.2011 registriert auf den seit mehreren Jahren, schon aus der Dialerzeit, bekannten Gauner Fabian Simon von der Firma Synatix GmbH.

(bron)

Keine Unbekannten: https://antiabzockenet.bl...s-mit-gutscheinmieze.html

Und hier hat jemand auch relativ viel gefunden: https://forum.kuketz-blog.de/viewtopic.php?f=16&t=1435

Was für ein ekelhaftes Geflecht - da wird einem übel. Das Addon hat mit Vorsatz diese Daten gesammelt.

(bron)

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (40)

Sorteer op:

Weergave: