Mozilla obligará a todos los desarrolladores de complementos a usar 2FA para evitar ataques a la cadena de suministro


mozilla-to-firefox-users-heres-how-were-5da72643dc406100013edce7-1-oct-25-2019-19-28-12-poster.jpg

Mozilla anunció esta semana que todos los desarrolladores de complementos de Firefox deben habilitar una solución de autenticación de dos factores (2FA) por su cuenta

«A partir de principios de 2020, los desarrolladores de extensiones deberán tener habilitado 2FA en AMO (el portal de complementos de Mozilla)» dijo Caitlin Neiman, Complementos Group Manager en Mozilla.

«Esto tiene la intención de ayudar a evitar que los actores maliciosos tomen el command de complementos legítimos y sus usuarios», agregó Neiman.

Cuando esto sucede, los hackers pueden usar las cuentas comprometidas de los desarrolladores para enviar actualizaciones de complementos contaminados a los usuarios de Firefox.

Dado que los complementos de Firefox tienen una posición bastante privilegiada dentro del navegador, un atacante puede usar un complemento comprometido para robar contraseñas, cookies de autenticación / sesión, espiar los hábitos de navegación de un usuario o redirigir a los usuarios a páginas de phishing o sitios de descarga de malware.

Estos tipos de incidentes generalmente se denominan ataques de la cadena de suministro.

Cuando suceden, los usuarios finales no tienen forma de detectar si una actualización complementaria es maliciosa o no, especialmente cuando una actualización contaminada proviene del oficial Mozilla AMO, una fuente considerada segura por todos los usuarios de Firefox.

La decisión de Mozilla de forzar a los desarrolladores de complementos para habilitar 2FA es el mejor curso de acción que el fabricante del navegador podría haber tomado para evitar futuros incidentes en la cadena de suministro.

Si bien no ha habido casos conocidos de secuestros de cuentas AMO para complementos de Firefox en los últimos años, ha habido muchos casos de extensiones de Chrome secuestradas.

Los desarrolladores de extensiones de Chrome se encuentran bajo un aluvión constante de correos electrónicos de phishing a través de los cuales los hackers intentan obtener acceso a sus cuentas de Chrome World wide web Keep. ZDNet documentó una de estas campañas de phishing masivo contra desarrolladores de extensiones de Chrome el año pasado, pero se nos dice que aún continúan hoy.

Dichos ataques se dirigen principalmente a los desarrolladores de extensiones de Chrome debido a la cuota de mercado del navegador del 65% -70% de Chrome. Firefox, con solo el 10%, es probablemente un objetivo menos atractivo para los grupos criminales Sin embargo, ver a Mozilla tomar medidas preventivas es recomendable.



Enlace a la noticia original