Mozillaは、すべてのFirefoxの拡張機能の開発者が自分のアカウントの2要素認証(2FA)を有効にする必要があることを今週発表しました。
「2020年の初めの初めから、開発者は(AMOに拡大する必要がありますaddons.mozilla.orgでのMozilla拡張ケイトリンニーマンコミュニティマネージャー、上2FAを有効にする)」公式ブログ彼は書きました。「これは、悪意のある攻撃者が正当な利用者の彼らのコントロールを拡張防ぐためです。」
これが発生すると、ハッカーは、開発者のアカウントを使用して、感染したFirefoxユーザーへの拡張アップデートを送信することができます。攻撃者は、ユーザーのブラウジング習慣を監視し、パスワード、認証/セッションクッキーを盗む、またはフィッシングページまたは悪意のあるソフトウェアのダウンロードサイトにユーザーをリダイレクトするために感染した、というように長期間の使用ができます。これらのタイプのイベントは、通常と呼ばれるサプライチェーンの攻撃。これが発生した場合、エンドユーザーは、公式のMozilla AMO--から感染したアップデートは、すべてのFirefoxユーザーが安全な供給源であると考えられている場合は特に、拡張アップデートが悪質で検出することはできません。
二要素認証(2FA)、ログインプロセス中に追加の手順を追加して、ユーザーの本当の身元を証明するために、あなたのアカウントにセキュリティの別の層を追加することができます。Mozillaの開発者は、サプライチェーンの攻撃が発生することがないようにするために、強制的有効2FAを延長することを決定しました。
近年ではFirefoxの拡張機能AMOアカウントのケースではありませんが、ハイジャックが、ハイジャックされたChromeの拡張機能の多くの例があります。Chrome拡張機能の開発者は、多くの場合、電子メールのフィッシング攻撃によって、ハッカーは、これらの電子メールChromeウェブアプリストアを介して自分のアカウントにアクセスしようとする試み。
通常、このような攻撃は65%-70%のChromeブラウザの市場シェアので、Chrome拡張機能開発を目的としました。攻撃者の魅力の10%だけが比較的小さいためにFirefoxが占めました。しかし、Mozillaは先制行動を取るのに十分警戒しました。
Mozillaは、ユーザーが従うことができます通知 support.mozilla.orgを説明したように、新しいルールを有効にするには、自分のアカウントの2要素認証(2FA)を可能に。