Mozilla强制所有附加开发人员使用2FA来防止供应链攻击

Mozilla本周宣布,所有Firefox附加组件开发人员都必须为其帐户启用两因素身份验证(2FA)解决方案。

“从2020年初开始,扩展开发人员将需要在AMO(Mozilla附加组件门户)上启用2FA,” Mozilla附加组件社区经理Caitlin Neiman说。

内曼补充说:“这是为了防止恶意行为者控制合法的附件及其用户。”

发生这种情况时,黑客可以使用开发人员的受感染帐户向Firefox用户发送受污染的附加更新。

由于Firefox插件在浏览器中的位置非常优越,因此攻击者可以使用受感染的插件来窃取密码,身份验证/会话cookie,监视用户的浏览习惯,或将用户重定向到网上诱骗页面或恶意软件下载站点。

这些类型的事件通常称为供应链攻击。

发生这种情况时,最终用户无法检测到附加更新是否是恶意的,尤其是当污染的更新来自官方Mozilla AMO(所有Firefox用户都认为是安全的来源)时。

Mozilla决定强迫附加开发人员启用2FA是浏览器制造商为防止将来发生供应链事件而可能采取的最佳措施。

尽管近年来没有针对Firefox附件的AMO帐户被劫持的案例,但有许多被劫持的Chrome扩展程序的案例。

Chrome扩展程序的开发人员经常受到网络钓鱼电子邮件的攻击,黑客试图通过这些电子邮件来尝试访问其Chrome网上应用店帐户。ZDNet去年记录了针对Chrome扩展开发人员的这些大规模网络钓鱼活动之一,但我们被告知它们今天仍在继续。

这类攻击主要针对Chrome扩展程序开发人员,因为Chrome浏览器的市场占有率为65%-70%。仅占10%的Firefox对犯罪集团的吸引力极小。但是,看到Mozilla采取先发制人的行为是值得称赞的。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。