No es la primera vez que pasa con algún complemento para Firefox que la utilidad que tenemos disponible tiene un propósito menos noble que el de ampliar la funcionalidad de vuestro navegador favorito. Ahora se trata de problemas con las extensión Mozilla Sniffer de Firefox, que en realidad se trataba de un malware preparado, no para aumentar la seguridad de nuestra navegación, sino más bien para recopilar nuestras contraseñas de manera transparente para el usuario.
Esta extensión estaba disponible desde principios de Junio y ha sido descargada unas 1800 veces, aunque actualmente se encuentra retirada de las páginas de complementos de Mozilla. Este complemento formaba parte de la colección Web Application Security Penetration Testing en la cual solo se publican herramientas de seguridad, para mayor escarnio de los responsables de su publicación.
Básicamente el complemento estaba programado para enviar las contraseñas que el usuario introducía en los formularios a un servidor remoto. El problema se encuentra en el sistema que tiene Mozilla para revisar el código de las extensiones, que buscan de forma automática malware, pero no han detectado esta extensión al no cumplir con los parámetros habituales del malware, pero sin embargo una sencilla revisión manual del código ha revelado su auténtico propósito.
Desde Mozilla han respondido de forma rápida retirando el complemento y a la vez anuncian que cambiarán el sistema de revisión de los complementos para tratar de que este tipo de extensiones no vuelvan a empañar uno de las razones por las cuales muchos usuarios eligen este navegador.
Lo que me parece más grave es que estuviera incluida en uno de los paquetes de seguridad, que en teoría deberían ser los más controlados y revisados por el propósito de los mismos. Aunque avisaban que la extensión no había sido revisada, en tal caso nunca debería haber sido incluida dentro del paquete de herramientas de seguridad.
Más Información | Mozilla En Genbeta | Alerta: localizadas dos extensiones de Firefox con código malicioso
Ver 28 comentarios
28 comentarios
lesan
Se podría decir que era malware multiplataforma.
Al final, de lo que nos tendremos que preocupar es de los navegadores, más que de los SO.
xallow
Citando la fuente:
"The add-on was in an experimental state, and all users that installed it should have seen a warning indicating it is unreviewed"
Las extensiones experimentales aparecen con una advertencia en ROJO, indicando claramente que no han sido revisadas por Mozilla. Es tu responsabilidad si quieres instalarla. Es simple sentido común (al igual que correr un crack).
En cuanto a que es un add-on de "seguridad", es simplemente la categoría a la que pertenece la extensión. En otras palabras, es una guía para clasificar las extensiones y puedan encontrarse más facilmente por los usuarios. ¿Y si no aún no era revisada (con ROJO), cómo iban a saber si la clasificación era la correcta?
Muy amarillista el artículo. A propósito, la noticia ya tiene una semana (12 de Julio) xD
martian007
Estoy de acuerdo en que ha sido un fallo de el equipo de Mozilla Add-ons, pero han actuado con rapidez teniendo en cuenta que era imposible que ese código fuese detectado automáticamente, y la cantidad de extensiones que tienen que revisar manualmente. Además si han decidido realizar cambios en respuesta a este incidente con tal de prevenir este tipo de errores, chapó por ellos.
Lo que sí que me parece una tontería es que lo que más grave le parece al redactor esta extensión estaba incluida en una colección de complementos relacionados con la seguridad informática. ¿Desde cuándo Mozilla se responsabiliza de las extensiones que forman parte de las colecciones? Si te molestas en mirar el autor de la colección, verás que no tiene nada que ver con Mozilla. Mozilla se encarga de que la extensión esté o no esté, no de dónde se ponga o se deje de poner.
ram-on
Ya son varios los titulares amarillistas en este blog.
De verdad entre el favoritismo subliminal a aplee y estas noticias mal redactadas de firefox meda a pensar que en genbeta odian a firefox, es una pena que un blog no sea suficiente para desbancar al navegador que teniendo una cuota del 0%, con un dominio total y opresivo del IE se hiso un hueco en el mercado y trazo el camino de los navegadores libres y gratuitos.
Yo personalmente y desde chrome lo dijo espero el firefox 4 para que se convierta en mi navegador por defecto.
38837
es que un navegador sin plugins es como un pc sin internet..
byhanzo
Yo siempre he sido de Firefox por la seguridad que me ha dado al navegar por internet. De siempre he tenido mis 5 navegadores (XD por si se "estropea" uno, poder usar otro) que son Internet Explorer (porque viene con Windows que si no ni lo instalaba), Firefox, Safari (este no lo utilizo mucho), Google Chrome (este tampoco es que lo utilice mucho) y por último el Opera. Este último es el que actualmente estoy utilizando y es el que mejor me va y también el que más seguridad me dá, ya que he tenido unos problemas recientemente con el navegador Firefox.
Simplemente recomendaros que los que aún no hayáis probado este navegador lo provéis. Para mi, actualmente, es el navegador más rápido en las busquedas, mas estable y más seguro que hay. Y lo mejor de todo es que esto lo consigue sin necesidad de plugins.
Saludos!!!
bionicle31
Por eso uso LastPass...
LordCaos
Siempre va a haber un agujero que alguien pueda aprovechar, por muy pequeño que sea...el chiste esta en actuar rápido y reconocer los errores... errar es de humanos, pero rectificar es de sabios..
John McKlain
Parece que despues de muchos años me voy a tener que volver al Opera...
elpezon
Por favor no digáis tonterías. Por supuesto que Mozilla es responsable, igual que lo es Chrome de sus extensiones.
¿Pero tú te crees que el 99,999% de los usuarios tiene el menor conocimiento de informática como para saber que las extensiones son "potencialmente peligrosas y es responsabilidad suya instalarlas"?
Estas cosas las saben los informáticos y alguno más. Y tener conocimientos para comprobar el código de cada extensión no digamos.
Es una chorrada pasarle la responsabilidad al usuario. Esos 1800 que se la han descargado se están cagando en los muertos de Mozilla y punto. Y con toda la razón.
Es muy fácil permitir barra libre de extensiones. 50.000, 100.000, mira cuantas extensiones tenemos, cómo molamos. Pero claro, en teoría no debes instalar ninguna de las 50.000 porque te juegas la vida. Literalmente. Que te roben tus contraseñas de acceso al banco es lo peor que te puede pasar y esta gente dice que es problema tuyo. ¿Pero de qué van?
Espero que esto tenga suficiente resonancia en todo el mundo y la gente se entere de que Firefox es tan peligroso y canalla que te puede arruinar la vida. Que te anima a que instales sus pieles y extensiones pero callando como una puta sobre su gigantesco riesgo. Que no es que te vayan a robar la contraseña del Facebook o el GMail, que ya es tela, es que te pueden robar todo tu dinero.
Si las extensiones son peligrosas se acaba con ellas y si las quieren ofrecer que revisen una por una ellos antes. El resto es un morro ilegal.
Por esa y otras muchas razones uso Maxthon, que sin extensiones es además del más rápido, el más completo en funciones. Para hacer lo que hace Maxthon en Firefox y Chrome te tienes que instalar no menos de 50 extensiones. O sea, 50 riesgos de ruina.
Qué mierda es Firefox por Dios. EL peor de todos. Y la beta de la v.4 es igual. Se han limitado a rediseñarlo como una copia de Chrome y Opera pero en lo demás sigue exactamente igual de malo y anticuadísimo.
ccd
no no... estas mal... debes preocuparte de firefox... que por mucho es el mas inseguro...
suena arcaico o inclusive como herejia, pero si un navegador no tiene plugins addons o parecidos menos agujeros habra... personalemente espero ver que pasa con Chrome que se unio a esa moda de los plugins...