Navigazione

FormSpy, il cavallo di Troia per Firefox?

28 Luglio 2006

In questi giorni circola sul web la notizia di un’estensione per Firefox che si installa senza il consenso dell’utente, sottrae i dati sensibili e li invia ad un server web remoto. La notizia è in parte vera, per cui vediamo di fare qualche doverosa precisazione.

Per prima cosa stiamo parlando di FormSpy (questo è il nome assegnato al trojan da McAfee), un trojan horse che si installa come estensione in Firefox ed invia i dati dell’utente al sito web FormSpy; all’interno della Gestione estensioni l’estensione viene identificata come Numbered Links 0.9.
Se avete questa estensione nell’elenco delle estensioni e non l’avete installata voi (un’estensione con quel nome esiste), forse è il caso di cominciare a preoccuparsi.

Come si installa questa estensione? Se avete mai usato Firefox saprete che per installare un’estensione è necessario autorizzare il sito web di provenienza e confermare l’installazione. In questo caso non viene richiesta nessuna conferma; significa che c’è un exploit nel sistema di installazione delle estensioni? No.
L’estensione viene installata attraverso un malware Downloader-AXM oppure attraverso una falla di Internet Explorer, VBS/Psyme, vecchia di 3 anni; questo significa che il problema riguarda solo i sistemi Windows.

Allora come si installa questa estensione? Probabilmente sfrutta i nuovo meccanismi di installazione introdotti nella la versione 1.5

For developers: You can install extensions by expanding the XPI into a folder whose name is the {GUID} of the extension, and drop it into the profile or application Extensions directory.

La cosa non è da prendere alla leggera: è più che evidente la necessità di ripensare i meccanismi di installazione “off-line” delle estensioni alla luce di questo tipo di attacchi. Ad esempio si potrebbe visualizzare l’abituale finestra di conferma per l’installazione al riavvio del browser, in modo che l’utente venga avvisato dell’installazione in corso.

Se alla luce di queste notizie cominciate ad avere dubbi sulla sicurezza di Firefox, vi faccio notare una cosa: il problema non è Firefox, il problema è la sicurezza del vostro sistema. Quanti di voi memorizzano dati di login e password nel browser? Se avete un sistema infetto da Trojan, non importa quale browser usate, siete già fregati in partenza 😉

In ogni caso sono sicuro che dalle parti di Mozilla non resteranno con le mani in mano.

Tag Technorati: , , ,

Related posts:

  1. Anteprima Firefox 2.0: i componenti aggiuntivi
  2. Cosa ci aspettiamo da Firefox 1.1
  3. Firefox 1.5.0.1
  4. Extend Firefox Contest
Scritto da flod  Archiviato in firefox, mozilla
23 commenti/trackback »

23 commenti/trackback a “FormSpy, il cavallo di Troia per Firefox?”

  1. mustafa scrive:
    28 Luglio 2006 alle 20:53

    pepsi_vanilla bannato! O__o
    http://www.swzone.it/forum/showthread.php?t=73840

  2. flod scrive:
    29 Luglio 2006 alle 13:31

    http://news.swzone.it/swznews-18180.php

    Avranno dato un’occhiata al blog che hanno linkato come “Gioxx’s”?

  3. Andrea scrive:
    29 Luglio 2006 alle 14:00

    Ciao,
    il sito che quotidianamente ci regala sorrisi non poteva non continuare nella sua crociata contro i software Mozilla.
    E lo fa adoperando i mezzi di cui dispone: sciocchezze e falsità.
    Riporto quanto scritto (addirittura in rosso!) dal “c.d. redattore della news

    Attenzione gli interessati leggano con attenzione prima di installare la nuova versione di questo browser, Un’estensione apparentemente innocua per Mozilla Firefox è in realtà un pericoloso Trojan. A questa scoperta sono arrivati i tecnici di McAfee che hanno individuato il malware in Numberedlinks 0.9.

    Sciocchezza: cosa centra l’aggiornamento alla nuova versione di Firefox con questo avviso dei tecnici McAfee? Assolutamente nulla, è ovvio!
    Falsità: Numberedlinks NON contiene malware e non è un trojan.

    Le mendaci accuse a Firefox fanno sorridere, fa un pochino irritare il tono intimidatorio riservato a chi non si allinea alle risibili posizioni del “c.d. redattore della news”

    Alla prossima!

    Andrea

  4. Giaddormentato scrive:
    29 Luglio 2006 alle 16:51

    http://forum.swzone.it/showthread.php?s=&threadid=73885

  5. miki64 scrive:
    29 Luglio 2006 alle 16:58

    Carissimo Andrea.
    Ti prego, ti scongiuro, ti sarò debitore per tutta la vita!

    Tu che ne hai le capacità, per favore, crea una mega-compilation cronologica di tutte le grandi esternazioni made by Dr.G!
    (il formato decidilo tu.. html, pdf, rtf… non ne capisco nulla io, non sono un tuttologo come il Dr. G!)

    Ti scongiuro, non tralasciare nulla: lo scontro iniziale con lo PseudoTecnico, il millantato credito presso MS e MoFo, le minacce di azioni legali, la risposta-tosta di halifax, le parole che lo PT non trovava, i tuoi commenti, i miei commenti, il dipendente-Gioxx e tutto il meglio del peggio…

    Ti prego, sono capace di abbandonare le FireFAQ e le ThunderFAQ per questo progetto, che è molto meglio di Extenzelig!!!

    Troppo divertente, troppo divertente, troppo divertente!

    Tra le chicche trovate questa volta, ecco come viene violentata la lingua italiana dal cit… tadino:

    Per la prima parte ti avevo già detto che ci avevi stancato il cervello ora ti dico che stai rompendo oltre missura con balle varie inventate li c’è una segnalazione chiara e lampante di non usare quel browser perchè pericoloso.

    Presto, Andrea… prima che correggano tutto, prima che queste perle di rara competenza e saggezza vengano disperse nell’etere effimero del virtuale!

    Salviamo in un dossier tutti gli interventi che riguardano il cit… tadino: sono troppo umoristici, troppo belli….

    Ti prego, ti scongiuro, ormai sto diventando un fan del Dr.G.!

    E’ un patrimonio dell’Umanità! Ti prego!

    Ah, se non ci fosse lo PT io mai avrei conosciuto cotanto personaggio!
    Grazie, PT, grazie!

  6. miki64 scrive:
    29 Luglio 2006 alle 22:03

    Miticooo dr. G!!!!
    Mentre scrivevo la mia richiesta ad Andrea, ecco che Giaddormentato inseriva un link ad una discussione su una “news” by Dr. G vecchia di UN anno!!!
    Wooowww!!!
    Divertentissimaaaaa!!!
    Leggetevela, vi prego!
    Il cit… tadino dà in anteprima i rilasci di Firefox prima che siano effettivi, ma poi aggiorna la disponibilità di alcuni driver esistenti già da UN annoooooo!!!

    Grande! Grandee!!!

    Alcune perle del post:

    prendi un ventilatore a parte il fatto che noi inseriamo non solo le news intese come nuova versione ma anche quelle

    Notate la mancanza della virgola assassina tra “ventilatore” e “a parte”.
    Ma poi il vero salto mortale è tra il rincorrersi frenetico di plurali e singolari…

    i giorni scorsi ho postao un programma del 1998 capita spesso

    Lui ha “postao” un programma del 1998 ed ha pure il coraggio di scriverlo!
    Per forza non ha fiducia di Firefox: e chi l’ha mai sentito ‘sto programma nel 1998?
    Pseudotecnico, questo tuo articolo sulla nuova versione di Firefox è sbagliato:
    https://www.pseudotecnico.org/?p=369
    Se non lo scrive il Dr. G, allora vuol dire che una quell’aggiornamento non esiste, almeno nel 1998 non esisteva!
    Ora non te lo spiegherò più perchè sarebbe offensivi (sich… offensivi) nei tuoi riguardi :mrgreen: :mrgreen:
    Chiaro, Pseudotecnico allarmista e disfattista, inventore di notizie false e troppo anticipate?

    qui si tratta di cosa diversa, fra l’altro questo è la copia di un’altro provocatore bannato in precedenza. La nostra filosofia è questa ci sono le news

    Quiz: indovinate dove c’è un apostrofo di troppo e dove ci sono due punti di meno…

    Chiudo qui, rischio il delirio per queste baggianate.
    Chi doveva dirlo che il blog dello Pseudotecnico, un giorno, avrebbe fatto da cassa di risonanza per SWZ… chi doveva dirlo.. chi… 😥 😥

  7. Casper scrive:
    29 Luglio 2006 alle 23:03

    Questo è uno dei pochissimi spazi dove si sorride pubblicamente, oltretutto con un certo savoir faire, degli incredibili strafalcioni di un tizio che farebbe bene a occuparsi d’altro. Dico pubblicamente, perchè in privato ci si sganascia senza ritegno. Tuttavia, se mi è permesso un appunto, inviterei a non estendere il giudizio negativo all’intero progetto SWZ. Dietro quelle pagine ci sono anni di lavoro, persone intelligenti con un eccezionale bagaglio di esperienze, nonchè una brillante infrastruttura tecnologica.

    Detto questo, l’ironia (anche feroce) in questo caso non solo è legittima, ma anche perfettamente giustificata dalle circostanze. Molti di noi stanno riflettendo forse sul rischio che l’esposizione ad un media come Internet generi mostri bavosi.

    Come si usava dire: una risata li seppellirà.

  8. flod scrive:
    30 Luglio 2006 alle 08:05

    @Casper: io sono ben lontano dal criticare tutto SWZone: non ne avrei motivo visto che sono stato bannato dopo 4 messaggi 😉

    Tralasciando la persona che ha minacciato di querelarmi, ho visto moderatori capaci e con il giusto atteggiamento (ad esempio disponibilità alla critica), altri meno; non ho visto nè sentito l’amministratore benché abbia cercato di contattarlo almeno un paio di volte via mail.

    Evidentemente allo staff di SWZone va bene così: accettare (e di conseguenze condividere) il comportamento di uno dei moderatori, ignorare qualsiasi cosa che abbia anche solo un labile collegamento con Mozilla a meno che si tratti di denigrazione, critica e simili.
    Nell’ultimo caso non si sono nemmeno accorti di aver inserito il link ad un blog che poche pagine prima infamava il signore in questione 😉

    Perché me la prendo tanto? Perché è odioso, ripeto “odioso”, vedere tanta cattiveria/animosità/ignoranza gratuite in un sito con una visibilità simile; l’ultimo esempio dei tanti è il disclaimer nella notizia indicata nel mio commento precedente.

  9. Casper scrive:
    30 Luglio 2006 alle 19:16

    Comprendo il tuo punto di vista. In effetti, il tuo passaggio su SWZ è stato straordinariamente rapido, dalla porta d’ingresso all’uscita di servizio 😉

    Avendo avuto a suo tempo responsabilità di moderazione anche lì, ho portato via con me la convinzione che lo strumento dei forum non sia soltanto obsoleto, ma anche perlopiù amministrato senza criterio. I poteri di moderazione dovrebbero limitarsi alla possibilità di editare d’urgenza contenuti inappropriati: molte delle storture che si possono osservare (sia ben chiaro, su quella come su altre spiagge) imho dipendono sia dalla disponibilità di un potere eccessivo, sia dal fatto che lo staff di sorveglianza è lo stesso che cura i contenuti. Chi posta una news o un articolo non dovrebbe potersi difendere dalle critiche grazie a prerogative superiori a quelle dell’utenza comune.

    Personalmente, credo che la figura di un supervisore nascosto, una sorta di Mago di Oz occultato nell’ombra, che non partecipi postando messaggi sul forum, non si occupi di contenuti, non abbia un nome nè un volto e non sia conosciuto nemmeno dai moderatori, rappresenterebbe una soluzione di garanzia per tamponare il generale scadimento di reputazione che lo strumento forum patisce da qualche tempo a questa parte. Un moderatore dovrebbe segnalare al Mago di Oz gli utenti candidati alla disciplina, e dipendere da lui per l’applicazione di provvedimenti drastici.

    Detto questo… certo, è odioso. Il potere e l’ignoranza insieme hanno un effetto dirompente. Il silenzio e la connivenza, pure.

  10. flod scrive:
    30 Luglio 2006 alle 19:43

    Se il forum serve per fornire supporto il ruolo del moderatore è chiaro: rispondere dove possibile, mantenere ordinato il forum (cancellando duplicati e spostando le discussioni nelle sezioni adatte), evitare di farsi coinvolgere in discussioni pubbliche con gli utenti troncandole sul nascere.

    E’ naturale che non sempre si riesca a starsene zitti, ma deve essere un’eccezione e non la regola: se litighi ogni due giorni con utenti diversi, probabilmente hai sbagliato qualcosa (o hai qualcosa di sbagliato).

    Per giudicare l’operato dei moderatori e valutare i casi dubbi esistono gli amministratori, non c’è bisogno del Mago di Oz 😉

  11. Casper scrive:
    30 Luglio 2006 alle 20:05

    Sono senz’altro d’accordo, in condizioni normali. E’ appena il caso di notare che, a quanto pare, nello specifico le condizioni non hanno nulla di normale. Quanto al Mago di Oz… chi ha detto che si tratti di una singola persona? Possono essere 20 persone come tre amministratori, la chiave è che non lo si sappia 🙂

  12. Andrea scrive:
    31 Luglio 2006 alle 13:58

    Ciao!
    Io vedo che oggi, forse per il gran caldo, il “c.d. redattore delle news” è davvero in grossa difficoltà.
    Dopo avere segnalato che in Firefox sono state riscontrate delle vulnerabilità tralascia allegramente di segnalare anche che sono state tutte risolte nella versione 1.5.0.5 del browser, bastava andare a leggersi il changelog.
    Non contento, dopo che un utente sottolinea che di vulnerabilità risolte si tratta, eccolo che riattacca con le bugie e falsità relative al famoso trojan di Firefox, l’utente pepsi_vanilla (un mito sul punto della bannazione per il neo-introdotto reato di “lesa maestrà di c.d. redattore delle news“) pazientemente spiega, con tanto di link a McAfee, che l’estensione NumberedLinks NON è un trojan.
    La spiegazione di pepsi_vanilla appare scritta in un buon italiano e sembra abbastanza facile da comprendere…ma no! Il “c.d. redattore delle news” ormai è andato, forse per il gran caldo, in loop e ripete per la quarta volta (dico 4 volte!!!) in un solo topic la falsa storia dell’estensione trojan.
    In più ci dona l’ennesima perla

    Non raccontare balle che non è giornata questo browser è un colabrodo anzi peggio di un colabrodo perchè almeno Microsoft denuncia le sue mancanze qui c’è voluta Secunia per sapere che che prima dell’ultima versione c’erano la bellezza di 12 dico 12 vulnerabilità.

    L’italiano è, forse per il gran caldo, approssimativo ma il senso si coglie ugualmente.

    Ciao!

    Ah, vi giuro che è tutto vero! Ecco il LINK

    Andrea.

  13. oneday_oneban scrive:
    1 Agosto 2006 alle 15:05

    FestivalbaN 2006
    pepsi_vanilla primo classificato con “La mala educacion”

    http://forum.swzone.it/showthread.php?s=&threadid=73973

  14. miki64 scrive:
    1 Agosto 2006 alle 15:53

    Pover Dr. G.
    Si darà una zappa sui piedi tremenda, alla fine.
    Ma se banna tutti, non teme di rimanere solo?
    O è già solo e un po’ di utenti (quelli accondiscenti) se li inventa lui?

  15. Andrea scrive:
    1 Agosto 2006 alle 18:58

    Ciao a tutti,
    è vero miki64, il “c.d. curatore delle news” ha bannato anche pepsi_vanilla!
    L’accusa è da non credere: “maleducazione“…sembra uno scherzo ma purtroppo non lo è!
    Riassumo sinteticamente la vicenda:
    Il “c.d. redattore delle news” ne aveva detta un’altra delle sue:

    Forse non te ne sei accorto ma la versione ultima corregge le 12 manchevolezze tenute sotto il tappeto, grande correttezza , ben nascoste per poi dichiarare , quando ormai era di dominio pubblico ( vedi Secunia ) che l’ultima versione le avrebbe corrette.

    E’ naturalmente una altra grossolana notizia falsa che si colloca nel triste scenario delle fatwa a Mozilla lanciata dal nostro con la collaborazione, in veste subalterna di un altro “c.d. moderatore
    Il compianto pepsi_vanilla risponde, con tutte le fonti ufficiali e certificate, dimostrando che l’affermazione dell’insabbiamento delle vulnerabilità cui si millantava sopra era, naturalmente ed inoppugnabilmente falsa.
    Il buon “c.d. redattore delle news” allora, non trovando altro a cui appigliarsi banna pepsi accusandolo di “cattiva educazione“, usata a suo dire, nell’avere “addirittura quotato” un intervento destinato all’utente Beep Beep
    Ma anche questi è stupito dall’ingiustificata rappresaglia

    Scusa Giancarlo ma permettimi di dirtelo, stai davvero esagerando. Non puoi continuare a bannare chiunque non sia daccordo con quello che scrivi.
    Nella rsiposta di Pepsi-Vanilla non c’era nulla di offensivo, ok ha quotato una risposta che non era destinata a lui, e allora? non mi sembra che questo sia mai stato un reato o un atteggiamento da meleducato.

    Sono su questo forum da molto tempo e non ho mai visto persone bannete per una simile sciocchezza, neanche Marco (Canàro) quando tutti pensavano fosse un orso cattivo arrivava a tanto.

    Davvero, spero che tu capisca che stai sbagliando.
    Marco

    Anche Olinto è stupito dal comportamento del “c.d. redattore delle news“:

    I tuoi genitori ti avranno insegnato l’educazione ma é il buonsenso che ti manca. È dal 2002 che frequento e leggo SWZ perché é un sito interessamte mi ha aiutato moltissimo e lo reputo un punto di riferimento x chi vuole restare sempre informato sul software. Però una cosa come il bannamento di Pepsi-Vanilla non l’ho mai vista.
    Anche se in passato ci sono stati screzi tra voi due su altri argomenti, non trovo certo una cosa sensata bannarlo adesso che ha detto una cosa giusta, magari contraddicendoti ma comunque giusta.
    Ti ricordo che discutere serenamente e apertamente delle problematiche software é una cosa che ha reso grande questo sito.

    Ma ecco il coup de théâtre che secondo il “c.d. redattore delle news” giustificherebbe l’assurdo bannaggio:

    Questo signore fa parte della congrega, lavora con loro e scrive su quei blog.
    Hanno offeso e dileggiato non solo il sottoscritto ma anche altri membri dello staff e continuano a farlo ogni giorno. Ne ho un abbondante documentazione.
    Se ti va di porgere l’altra guancia fallo tu avrei vergogna di me stesso se lo facessi.

    Che dire, se la vera ragione del bannaggio fosse stata questa lo avrebbe bannato ben prima 😀
    La vera ragione è che pepsi_vanilla ha dimostrato in diverse occasioni le falsità che il “c.d. redattore delle news” va dicendo contro i software Mozilla.

    P.S.
    A lato di questa ridicola vicenda il brillante intervento del “moderatore subalterno” che forse per farsi bello con il suo mentore ci delizia con questo indimenticabile intervento:
    Link
    Questo sì, se lo poteva risparmiare 😀

    In chiusura faccio mia una frase di Casper:

    Il potere e l’ignoranza insieme hanno un effetto dirompente. Il silenzio e la connivenza, pure.

    Alla prossima!

    Andrea

    Ringrazio flod per l’ospitalità, la mia mammina per avermi insegnato l’educazione, miki64 per il supporto morale, Casper per la massima che gli ho rubato, Giovanni Rana per i tortellini e ultimo ma non per ultimo il forum di SWZ per i bei momenti di ilarità che ci dona.

  16. miki64 scrive:
    1 Agosto 2006 alle 23:24

    pepsi_vanilla, se mi leggi:

    “Per la prima parte il dr.G ti aveva già detto che gli avevi stancato il cervello (toh, ha un cervello. Lo abbiamo scoperto grazie a te), ora ti dico che gli stai rompendo oltre misura (con una “esse” e non con due) con riscontri imparziali e citazioni delle fonti anziché con balle varie inventate. Li (in quel Forum) c’è una segnalazione chiara e lampante di non usare il tuo cervello perchè pericoloso. No perchè la colpa, guarda caso, è tua, quindi la soluzione scontata è non usare il tuo cervello pro-Mozilla”.

    Scherzi a parte, non prendertela, non hai perso nulla.
    Il loro sarà un Forum che, di questo passo, avrà 2 (due!) utenti, il cit… tadino ed un altro.
    Oppure si banneranno tra loro, magari un paio di volte, in modo da avere -2 utenti?

  17. pepsi_vanilla scrive:
    2 Agosto 2006 alle 20:36

    Sì miki64, vi leggo spesso con divertimento!
    Sulla bannazione ho poco da aggiungere: è tutto scritto sul forum e chiunque avrà la bontà di leggersi i topic incriminati si renderà conto che le ragioni di questa prepotenza stanno esclusivamente nell’avere pubblicamente e ripetutamente sbugiardato il Dr.G.
    Una doverosa precisazione sulla “buona educazione”: il simpatico Dr.G per ben due volte mi ha accusato di dire balle…
    …come si dice…il toro che dice cornuto all’asino?
    Altra della serie:

    A questo si aggiunga l’ azione promozionale, non puoi non conoscerla, fatta, dire scorrettamente è un eufemismo, e poi ritirata per la vergogna.

    Con questa frase, scritta in un italiano approssimativo, probabilmente si riferisce ad una campagna contro IE promossa mesi addietro da alcuni ragazzi esterni a Mozilla (Explorer Destroyer) ma lui ci vuole fare credere che l’iniziativa sia partita direttamente dalla fondazione Mozilla…è proprio necessario evidenziare che anche questa affermazione non corrisponde alla realtà?
    Sapete poi, qui poi non posso fare a meno di ridere!

    Non mi piace chi nasconde cose che dovrebbero essere pubbliche, non mi piace chi fa campagne contro un minimo di etica, non mi piace chi denigra continuamente gli altri

    Sembra riferirsi a qualcuno di nostra conoscenza, vero?

    Ciao!

    pepsi_vanilla

  18. miki64 scrive:
    3 Agosto 2006 alle 11:17

    Nuova prodezza linguistica del nostro dr.G: un software viene “discontinuato” (dall’inglese “discontinued”, normalmente tradotto in “abbandonato”)
    http://news.swzone.it/swznews-18224.php

    Ringrazio un utente della segnalazione (io non perdo tempo a leggere SWZ, almeno finché sarà rappresentato da certi “Maghi di Oz”…)

  19. Casper scrive:
    3 Agosto 2006 alle 13:55

    Daaai, discontinuato è un neologismo bruttino, ma è entrato nell’uso corrente del settore. Non attribuiamo a questo signore anche la responsabilità di pioggia e bel tempo… è già sufficiente tutto il resto 😉

  20. miki64 scrive:
    3 Agosto 2006 alle 16:58

    Casper, forse hai ragione.
    Comunque stiamo parlando di uno che – nel “suo” Forum – fa il bello e il cattivo tempo… 😉

  21. Casper scrive:
    3 Agosto 2006 alle 17:26

    LOL Questa è bellissima 😀 mi inchino e mi ritiro in buon ordine

  22. halifax scrive:
    3 Agosto 2006 alle 19:35

    Zitti…zitti..sssshh… forse forse sul quel sito qualcosa incomincia a muoversi 😆 :
    http://forum.swzone.it/showthread.php?s=1838749c493721ced9641bbcf3557a6b&t=74079#top

  23. halifax scrive:
    3 Agosto 2006 alle 19:38

    In particolare questo intervento:
    http://forum.swzone.it/showpost.php?s=1838749c493721ced9641bbcf3557a6b&p=699574&postcount=5

Trackback e pingback

  1. Nessun trackback o pingback disponibile per questo articolo

Non è possibile inserire nuovi commenti. I commenti vengono disattivati automaticamente dopo 60 giorni.