Firefox の拡張機能更新に中間者攻撃の危険性

2007年6月2日(土) 11時49分 by level
B ?

ITmedia エンタープライズ:Firefoxの拡張機能に設計上の欠陥、「Google Toolbar」などで影響という記事(元記事)で、以下のように述べられています。

問題は、ベンダーが提供する主要な拡張機能が、SSLで暗号化された「https://」から始まるサイトから提供されていないこと。このため、中間者攻撃(Man in the Middle攻撃)を受けても、ユーザー側ではアクセス先が正しいサーバなのか、それとも偽のサーバに誘導されているのかどうかを確認することができないという。

注:以下、最初の段落とそれ以降とで主張がずれているように見えますが、書いているうちにだんだんと問題が分ってきたためです。(2008/5/18追記)

この記事の言わんとすることは、SSL でない http でアクセスすると Man in the Middle 攻撃を喰らうとやばいぞということですが、それって別に Firefox の拡張機能の更新に限った問題ではないという気がします。例えば大手ダウンロードサイト、Vector や sourceforge だって普通の http によるダウンロードを行っています。公式サイトからの Firefox のダウンロードしかりです(Firefox だと、ファイルに電子署名してあるのでダウンロード後にそれを確認すれば大丈夫ですが、それが有効な歯止めになっているとは思えません)。Man in the Middle 攻撃がどれだけ現実味のあるものかいまいちピンと来ませんが、そんなに気にするほどのこともないように思います(記事にもあるように、管理者のはっきりしない公衆無線 LAN なんかは確かに危ないかもしれません)。

ただし、一般的なソフトウェアのダウンロードに比べて Firefox の拡張機能の更新は若干危険性が高いかもしれません。普通のソフトウェアのダウンロードはユーザの明示的なアクションによって行われるのに対して、Firefox の拡張機能の更新の場合、定期的に更新の有無がチェックされ(24時間ごとらしいです)、更新するかどうかの通知があらわれます。更新通知に対して OK ボタンを押すのはユーザですが、その敷居はかなり低いといえます(私の場合はまず無条件に更新を実行します)。今回槍玉の筆頭に上がっている Google Toolbar の場合はユーザの確認を待つことなく、自動的に更新してしまうらしいです。

また、更新通知は拡張機能の更新があったときにのみ起こりますが、もし Man in the Middle 攻撃者が存在すれば、更新の問い合わせがあれば常に「更新あり」との回答をすることも可能なはずです。つまり Firefox の更新通知機能がアクティブになっていればとくにユーザからのアクションがなくとも24時間以内に攻撃が可能になるということになります。

AMO 経由で自動更新されるものは安全であるとされていますが、問題は、インストール済みのどの拡張機能が AMO 経由で更新されるのか確認できないということです。元記事では以下の拡張機能に問題があるとされています。

Q: Who is at risk?

A: Anyone who has installed the Firefox Web Browser and one or more vulnerable extensions. These include, but are not limited to: Google Toolbar, Google Browser Sync, Yahoo Toolbar, Del.icio.us Extension, Facebook Toolbar, AOL Toolbar, Ask.com Toolbar, LinkedIn Browser Toolbar, Netcraft Anti-Phishing Toolbar, PhishTank SiteChecker.

なお、Mozilla Developer News によれば、Firefox 3 ではこの問題に対する対策を検討しているということです。

ところで、他の自動更新システムはどうなんでしょうか。Windows Update はサイト自体は http です(https でもアクセスはできます)。実際の更新処理は ActiveX が行っているはずなので、セキュアな処理を行っているんでしょうね、きっと。

最終更新: 2008年5月19日(月) 0時0分

コメント (6)

1 6/02 12:44 えむけい
(c1) [2007/06/02 12:44:08] by えむけい

Windows Updateはコード署名を確認しています。したがってダウンロードにはわざわざ負荷の高いSSLを使っていません。極端な話入手経路はp2pでもかまわないのです。
Firefoxの自動更新でもxpiの署名を確認すれば同様のことはできるはずですが、やってません…とそのblogには書かれてますね。
ユーザーのアクションでダウンロードするものと自動更新を一緒くたに考えるべきでないというのは、Apple Software Updateに同様の問題が指摘されたときすでに言われていました。

2 6/02 15:08 level
(c2) [2007/06/02 15:08:21] by level

署名つき拡張インストール後、署名なし更新がきても何のエラーも出ない。おまけに更新時に古い署名は捨てられる、と書いてありますね。
このあたりもFirefox 3で改善されるのでしょうか。
そうすると、オレオレ証明書でも十分役に立つということになりますね。

3 6/03 07:41 無明
(c3) [2007/06/03 07:41:54] by 無明

 オレオレ証明書が役に立つのはかなり限定された条件の時に限られると思うのですが。

 どこともしれないサイトの野良拡張のオレオレ証明書を信用はできないでしょう?

4 6/03 10:46 level
(c4) [2007/06/03 10:46:24] by level

> オレオレ証明書が役に立つのはかなり限定された条件の時に限られると思うのですが。
もちろんそうですね。
最初にインストールするときの署名は何の役にもたたないですが、インストール済みの拡張機能と更新が同じ作者により作成されているのかは確認できると思います。

Firefox 3では、httpsからの更新しか受け付けない可能性が高いので、混乱を助長するようなそういう姑息なことをする必要はなさそうですが。

5 6/03 15:36 無明
(c5) [2007/06/03 15:36:22] by 無明

 いや私が心配しているのは、https://addons.mozilla.org/ 以外で公開されている拡張のことなんです。

 そういった野良拡張は ( 私のも含めてそうですけど ) https を使ってようが、オレオレ証明書である限り信頼できないわけで。

 様々な理由で Add-ons に登録できない、あるいはサンドボックスで永遠に眠っている便利な拡張って多いと思うんですが ( たとえば piro さんがフォローし続けている XUL/Migemo [Forked Edition] ですら野良拡張には違いないわけですし。私は piro さんのこれまでの Mozilla への貢献と、日本の拡張の第一人者として信頼しているのでインストールしてますが )、Add-ons に登録されていない拡張は、https を使おうが、アップデートだからだろうが、通信上の技術においては安全性はまったく担保されていないことに違いはないわけで。

 だから Add-on 以外で公開されている拡張は、安全性が全く担保されていない拡張であると。

 まあ、そういったことを言いたかったのでした。

 つまり現在、拡張を安全に手にいれる方法は、現在、拡張コミュニティが相互チェックしてる Add-on サイトしかなく、Add-on サイトを https にすれば、オレオレ証明書でも安全性は担保されます。

 名指ししますが McAfee の SiteAdvisor ですら、拡張としての安全性はまったく担保されてませんし。McAfee というブランドを信じるしかないですけど、最初は通常の McAfee のサイトでは配布されてませんでしたからね。

6 6/03 15:38 無明
(c6) [2007/06/03 15:38:52] by 無明

 すみません。Add-on は https でしたね (^_^ゞ

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. データがありません。