Fabricantes de algumas das mais populares extensões usadas pelo navegador Firefox não estão fazendo o suficiente para proteger o software, afirmou um analista de segurança nesta quarta-feira (30/05).

O problema é que muitas extensões amplamente usadas para o Firefox, incluindo a barra de ferramentas do Google, Yahoo e AOL, não usam conexões seguras para se atualizar, de acordo com Christopher Soghoian, pesquisador de segurança que escreveu um post sobre o assunto.

Soghoian é mais conhecido como o pesquisador que atraiu atenções do FBI no ano passado após publicar uma ferramenta que poderia ser usada para falsificar passagens aéreas.

O pesquisador, que tem um doutorado na Universidade de Indiana, descobriu a questão no Firefox no último mês examinando o tráfego de rede no seu PC.

Ele noticiou que muitas das extensões mais populares do navegador são hospedadas em servidores que usam o protocolo web Secure Sockets Layer (SSL).

Sites com SSL usam certificados digitais para oferecer a usuários um nível mínimo de confiança de que a conexão não está sendo feita em um servidor falso.

Mesmo que a Mozilla hospede a maioria das extensões em seu site com SSL, é comum que desenvolvedores como Google hospedem softwares em sites não seguros, afirmou Soghoian.

Isto deixa usuários vulneráveis para um ataque por um cracker que se intrometa nesta conexão, onde Firefox poderia ser enganado para baixar softwares maliciosos, mesmo que o plug-in esteja em outro servidor.

Não seria fácil para o cracker fazer o ataque, no entanto. Em um cenário, o cracker precisaria formatar um ponto de acesso malicioso sem fio em uma área pública onde pessoas estão usando redes wireless.

Ele então precisaria redirecionar o tráfico de atualização da extensão para um computador malicioso.

Entre outras extensões vulneráveis ao ataques, Soghoian destacou plug-ins que acessam os serviços del.icio.us, Facebook, Ask.com, LinkedIn e Netcraft Anti-Phishing.

Mesmo que Soghoina afirme que usuários do Firefox devam evitar extensões que não venham de sites seguros, nem todos os pesquisadores de segurança vêem nisto um problema.

"É apenas outra vulnerabilidade de design entre bilhões", afirma Gadi Evron, evangelista de segurança da Beyond. "Para mim, isto não é crítico. Não há qualquer vulnerabilidade inerente".

Soghoian afirmou ter notificado Google, Yahoo e Facebook sobre a questão no meio de abril, mas nenhuma delas havia expressado preocupações. Horas após Soghoian tornar público seu estudo, o Google veio a público afirmar que prepararia uma correção "logo".

É comum que desenvolvedores online ignorem segurança na pressa de lançar novas funções, disse Soghoian. "A desenvolvedor padrão de Web 2.0 não aprende muito sobre segurança".