Site-urile rau intentionate se folosesc de un bug Firefox vechi de 11 ani, pe care Mozilla nu a reusit sa-l inlature

 

Bug-ul a fost eradicat in Chrome si Edge, dar este inca o problema pentru utilizatorii Firefox.

 

Autorii de programe si stie-uri malware, farmerii de anunturi si escrocii, se folosesc de un bug Firefox pentru a insela utilizatorii, trimitandu-i pe site-uri rau intentionate.

 

Aceasta nu ar fi o problema foarte mare, deoarece webul este plin de astfel de site-uri rau intentionate, dar aceste site-uri nu abuzeaza de un truc nou, ce nu a mai fost intalnit, ci de un bug de Firefox pe care inginerii Mozilla nu l-au reparat in cei 11 ani de cand a fost raportat pentru prima data, in aprilie 2007.

 

Problema se refera la un site rau intentionat care incorporeaza un iframe in interiorul codului sursa. Iframe-ul face o cerere de autentificare HTTP pe un alt domeniu. Acest lucru are ca rezultat un iframe care prezinta un mod de autentificare pe site-ul rau intentionat

 

In ultimii ani, autorii de soft-uri si site-uri malware, farmerii de anunturi si escrocii au abuzat de acest bug pentru a atrage utilizatorii pe site-uri malitioase, cum ar fi escrocherii de asistenta tehnica, fermele de anunturi care reincarca pagina cu anunturi noi intr-o bucla , pagini care ii imping pe utilizatori sa cumpere carduri cadou false sau site-uri care ofera actualizari de software malware.

 

Ori de cate ori utilizatorii incearca sa paraseasca pagina, proprietarii acestor locatii indoielnice declanseaza modalitatea de autentificare intr-o bucla. De fiecare data cand utilizatorul o respinge, se face o alta solicitare si apare un modul de autentificare, pastrand efectiv captiv utilizatorul pe site pana cand acesta inchidr browserul in totalitate si este fortat sa inceapa o noua sesiune de navigare.

 

In ciuda faptului ca a fost raportat de foarte multe ori, aceasta problema nu a disparut din motive necunoscute, iar infractorii au abuzat bucurosi de ea in tot acest timp.

 

Cel mai recent exemplu de abuz vine de la un utilizator care a raportat problema inca o data astazi, dupa ce a ajuns pe unul dintre aceste site-uri obscure, care au incercat sa-l forteze sa instaleze o extensie suspecta pentru Firefox.

 

“La inceput, este deschis in modul full screen, o casuta de dialog falsa de Windows (eu folosesc Linux, asa ca stiu ca este falsa)”, a spus utilizatorul. “A incercat sa ma forteze sa instalez extensiile lor.”

 

“Apoi apas butonul ESC pentru a iesi din ecranul complet Apas pe butonul de inchidere al filei sau ferestrei, dar nu functioneaza pentru ca  apare dialogul de autentificare : Faceti clic pe butonul de inchidere al dialogului de autentificare sau pe butonul de anulare. din nou, dau clic pe butonul “Nu permiteti”  instalarea extensiei, dar nu pare sa se poata face clic pe el, am intrerupt task-ul Firefox, lucru care a fost singura solutie pentru mine.

 

Sigur, Mozilla este un proiect open source si nu are resurse nelimitate pentru a rezolva toate problemele raportate, insa am crede ca dupa mai bine de 11 ani, un inginer de la Firefox si-ar fi gasit timp pentru a rezolva o problema exploatata si raportata in mod frecvent

 

Bazandu-ne pe feedbackul lasat de alti utilizatori asupra problemei raportate, cel mai bun plan de actiune al echipei Firefox ar trebui sa fie de a urmari modul in care Edge si Chrome s-au ocupat de aceeasi problema.

 

Edge: intarzierea dintre modalitatile de autentificare din Edge este suficient de mare pentru a permite utilizatorului sa inchida fila sau browserul.

 

Chrome: Fereastra de dialog de autentificare a fost mutata de la nivelul ferestrei  proncipale a browserului la nivelul fiecarui tab. Aceasta inseamna ca dialogurile de autentificare agresive blocheaza numai tab-ul respectiv si nu pe celelalte, permitand utilizatorului sa inchida cu usurinta fila abuziva.