No es la primera vez que pasa con algún complemento para Firefox que la utilidad que tenemos disponible tiene un propósito menos noble que el de ampliar la funcionalidad de vuestro navegador favorito. Ahora se trata de problemas con las extensión Mozilla Sniffer de Firefox, que en realidad se trataba de un malware preparado, no para aumentar la seguridad de nuestra navegación, sino más bien para recopilar nuestras contraseñas de manera transparente para el usuario.
Esta extensión estaba disponible desde principios de Junio y ha sido descargada unas 1800 veces, aunque actualmente se encuentra retirada de las páginas de complementos de Mozilla. Este complemento formaba parte de la colección Web Application Security Penetration Testing en la cual solo se publican herramientas de seguridad, para mayor escarnio de los responsables de su publicación.
Básicamente el complemento estaba programado para enviar las contraseñas que el usuario introducía en los formularios a un servidor remoto. El problema se encuentra en el sistema que tiene Mozilla para revisar el código de las extensiones, que buscan de forma automática malware, pero no han detectado esta extensión al no cumplir con los parámetros habituales del malware, pero sin embargo una sencilla revisión manual del código ha revelado su auténtico propósito.
Desde Mozilla han respondido de forma rápida retirando el complemento y a la vez anuncian que cambiarán el sistema de revisión de los complementos para tratar de que este tipo de extensiones no vuelvan a empañar uno de las razones por las cuales muchos usuarios eligen este navegador.
Lo que me parece más grave es que estuviera incluida en uno de los paquetes de seguridad, que en teoría deberían ser los más controlados y revisados por el propósito de los mismos. Aunque avisaban que la extensión no había sido revisada, en tal caso nunca debería haber sido incluida dentro del paquete de herramientas de seguridad.
Más Información | Mozilla
En Genbeta | Alerta: localizadas dos extensiones de Firefox con código malicioso
Comentarios
brillante
Se podría decir que era malware multiplataforma.
Al final, de lo que nos tendremos que preocupar es de los navegadores, más que de los SO.
Buena apreciación.
no no... estas mal... debes preocuparte de firefox... que por mucho es el mas inseguro...
suena arcaico o inclusive como herejia, pero si un navegador no tiene plugins addons o parecidos menos agujeros habra... personalemente espero ver que pasa con Chrome que se unio a esa moda de los plugins...
interesante
Más bien hay que preocuparse por los plugins, Firefox de por sí no trae ninguno. Si yo instalo plugins lo hago bajo mi responsabilidad, y por ello me informo antes de instalar cualquier cosa, norma básica en esto del manejo de los ordenadores.
Concuerdo completamente con Zanr, el hecho de que un usuario instale un plugin es bajo su propia responsabilidad, incluso Firefox y Mozilla lo advierten antes de instalar un plugin y hasta te piden que verifiques si realmente lo quieres instalar. Por más sistemas de seguridad que manejen, no se pueden pasar todo el día revisando línea por línea de cada extensión y los sistemas automáticos (como siempre) terminan no viendo algunas cosas que al parecer no hacen nada; aquí la lección es: "antes de instalar cualquier cosa, sin importar qué sea, hay que revisar bien si realmente es lo que debería ser informándose con fuentes confiables."
Pero el navegador viene limpio. Eres tu quien decide si agregarle cosas o no. No es culpa del fabricante de yogures que tu le eches azúcar...
Aqui en México se venden Yogures con un compartimento adicional que contiene cereal, si el cereal que viene tiene algun problema dañino, quiero culpar al fabricante del Yogur, aunque el Cereal lo haya fabricado Kellog's.
Espero que entiendas la analogia, la aplicación estaba publicada en la página de Firefox, no puedes decir que no tiene responsabilidad. De hecho, no deberían publicar extensiones que no hayan sido revisadas. Bien puede solamente agergar una liga a la página del programador, pero no permitir que sea descargada desde su misma página.
-- editado por última vez a las 07:10
Tu analogía sería válida si este plugin uno se lo instalara de cualquier sitio menos de la página oficial de complementos de Mozilla. Además, no es la primera vez que ocurre.
Acabaré diciendo que yo sigo siendo usuario de Firefox, pero tampoco hay que cerrar los ojos a la evidencia. Dentro de lo negativo de esta noticia al menos podemos rescatar que apenas detectado el problema lo han solucionado con prontitud.
es que un navegador sin plugins es como un pc sin internet..
interesante
Citando la fuente:
"The add-on was in an experimental state, and all users that installed it should have seen a warning indicating it is unreviewed"
Las extensiones experimentales aparecen con una advertencia en ROJO, indicando claramente que no han sido revisadas por Mozilla. Es tu responsabilidad si quieres instalarla. Es simple sentido común (al igual que correr un crack).
En cuanto a que es un add-on de "seguridad", es simplemente la categoría a la que pertenece la extensión. En otras palabras, es una guía para clasificar las extensiones y puedan encontrarse más facilmente por los usuarios. ¿Y si no aún no era revisada (con ROJO), cómo iban a saber si la clasificación era la correcta?
Muy amarillista el artículo. A propósito, la noticia ya tiene una semana (12 de Julio) xD
que grave error el no especificar en este blog que la extensión era experimental, le da un cambio radical a la forma de ver la noticia
Estoy de acuerdo en que ha sido un fallo de el equipo de Mozilla Add-ons, pero han actuado con rapidez teniendo en cuenta que era imposible que ese código fuese detectado automáticamente, y la cantidad de extensiones que tienen que revisar manualmente. Además si han decidido realizar cambios en respuesta a este incidente con tal de prevenir este tipo de errores, chapó por ellos.
Lo que sí que me parece una tontería es que lo que más grave le parece al redactor esta extensión estaba incluida en una colección de complementos relacionados con la seguridad informática. ¿Desde cuándo Mozilla se responsabiliza de las extensiones que forman parte de las colecciones? Si te molestas en mirar el autor de la colección, verás que no tiene nada que ver con Mozilla. Mozilla se encarga de que la extensión esté o no esté, no de dónde se ponga o se deje de poner.
Supongo que es el programador (o Uploader) el que escoge la ubicación en las categorías a como él considere su extensión... nunca he subido una... pero si es así, nada tiene que ver con Mozilla ya que es una simple etiqueta para que estén más ordenadas las extensiones.
Ya ves, puedes llamarme maniático, pero no me parece bien que extensiones que no han sido revisadas se permitan incluir dentro de las colecciones de complementos de seguridad.
Error: Dentro de colecciones de complementos de seguridad experimentales.
Y sí, eres un maniático. Hiciste un gran relajo (escandalo) por algo que ya pasó y que ya se arregló... dejalo así.
Además de que solo se descargó unas 1800 veces... no es un gran número, siendo experimental los que la descargaron no eran cualquier tipo de usuario de firefox, ellos sabrán cómo protegerse ante este respecto.
Aunque si la descargaste tú y luego te diste cuenta de esto, lo hiciste personal y puedes descargar tu furia de la manera que quieras, solo que no esperes que la gente te apoye.
Por cierto, yo vivo con las Minefield de Firefox instalada como navegador principal y no instalo ningún otro, pero no por el hecho de que presente errores me voy a enojar y matar a Mozilla en un blog, es bajo mi riesgo.
Bueno, suficiente... yo creo que seguiras escribiendo cosas dignas de GenBeta como siempre y esta dejemosla en el pasado.
-- Daniel Salas.
Yo no me enojo porque Mozilla tenga un problema con una de las ¿miles? de extensiones que tiene. Simplemente lo reseño, como haría con un problema de otro navegador, o de un sistema operativo. Me molesta que presuman de tener cantidad de extensiones, no calidad. Pero bueno, como dices, paso, la eliminaron y se acabó la historia y hasta la próxima.
LosLunesAlSol debe de ser un fanboy de Opera, encaja en el perfil de tirar mierda sobre los demás navegadores.
Parece que despues de muchos años me voy a tener que volver al Opera...
Vaya hombre, cuanto fanboy de mozilla por aquí.
Por favor no digáis tonterías. Por supuesto que Mozilla es responsable, igual que lo es Chrome de sus extensiones.
¿Pero tú te crees que el 99,999% de los usuarios tiene el menor conocimiento de informática como para saber que las extensiones son "potencialmente peligrosas y es responsabilidad suya instalarlas"?
Estas cosas las saben los informáticos y alguno más. Y tener conocimientos para comprobar el código de cada extensión no digamos.
Es una chorrada pasarle la responsabilidad al usuario. Esos 1800 que se la han descargado se están cagando en los muertos de Mozilla y punto. Y con toda la razón.
Es muy fácil permitir barra libre de extensiones. 50.000, 100.000, mira cuantas extensiones tenemos, cómo molamos. Pero claro, en teoría no debes instalar ninguna de las 50.000 porque te juegas la vida. Literalmente. Que te roben tus contraseñas de acceso al banco es lo peor que te puede pasar y esta gente dice que es problema tuyo. ¿Pero de qué van?
Espero que esto tenga suficiente resonancia en todo el mundo y la gente se entere de que Firefox es tan peligroso y canalla que te puede arruinar la vida. Que te anima a que instales sus pieles y extensiones pero callando como una puta sobre su gigantesco riesgo. Que no es que te vayan a robar la contraseña del Facebook o el GMail, que ya es tela, es que te pueden robar todo tu dinero.
Si las extensiones son peligrosas se acaba con ellas y si las quieren ofrecer que revisen una por una ellos antes. El resto es un morro ilegal.
Por esa y otras muchas razones uso Maxthon, que sin extensiones es además del más rápido, el más completo en funciones. Para hacer lo que hace Maxthon en Firefox y Chrome te tienes que instalar no menos de 50 extensiones. O sea, 50 riesgos de ruina.
Qué mierda es Firefox por Dios. EL peor de todos. Y la beta de la v.4 es igual. Se han limitado a rediseñarlo como una copia de Chrome y Opera pero en lo demás sigue exactamente igual de malo y anticuadísimo.
interesante
Venga pequeño, ya has descargado tu frustración y has quedado tan guay usando tu super navegador de fanboy.
Esto es como los cuchillos, te ayudan a preparar la comida y como herramienta diaria, pero luego hay gente que los usa como armas mortales ¿Acaso alguien dice que las cuchillerías tengan la culpa y deban ser demonizadas? No.
Firefox y sus complementos, por más que digas, es una aplicación excelente que marcó el inicio de la carrera de los navegadores, liderando y apostando por el software libre, además personalmente hablando es el más ligero, rápido y personalizable de todos los que he probado (y he probado varios).
Si la gente se aprovecha de la buena fe de una fundación es culpa de la mala gente del mundo. Pero no, estamos hablando de internet y la culpa la tiene Mozilla porque no revisa cada una de las miles de extensiones que tienen, ay que ver estos vagos de Mozilla y su penoso navegador personalizable, que simplemente pone una advertencia en rojo cuando quiero descargarme una extensión que aún está bajo supervisión.
eso es tan estúpido como decir que es culpa del OS que se propaguen virus por darnos la opción de instalar programas que no vengan de fábrica
@12 Epic phrases xD
Ehm... ok, preparense para lo que viene...
No, pero todo mundo sabe leer las advertencias. Si no sé, mejor no toco. ¿O tienes la manía de abrazar los cables que dicen "Alta tensión"?
Ya me imagino a un suicida en la orilla de un puente y una piedra atada a su pierna pensando: "Qué casualidad... desde que empecé a usar Firefox la vida me ha tratado mal. Mi esposa me engañó con el lechero, me corrieron del trabajo por dormirme, y para colmo el perro de la vecina me orinó. ¡Ah, Firefox destruyó mi vida!xDDDD
"Por eso y muchas razones más, ven conmigo esta navidad". Leí todo el post expectante de saber que navegador ideal nos recomendarias... y al final me quedé... wtf rofl
-- editado por última vez a las 06:29
Jajaja... casi me eh orinado de la risa con el final de este coment jajaj :P, buenísimo.
"Por esa y otras muchas razones uso Maxthon, que sin extensiones es además del más rápido, el más completo en funciones. Para hacer lo que hace Maxthon en Firefox y Chrome te tienes que instalar no menos de 50 extensiones. O sea, 50 riesgos de ruina."
Veré que sucede con tu TodoPoderoso Maxthon, lo instalo y les comento si el camarada aquí presente tiene razón...
Basado en el WebKit, así cualquiera es rápido... no tiene muchas opciones para configurar como esperaba, los gestos del mouse son usables de novedad pero realmente no le agregan mucho a la navegación, el diseño es bonito pero parece a firefox 4 beta, opera, chrome... y dices que firefox es el que se copia. Bloqueo de ventanas emergentes (todos lo tienen), Speed Dial (como opera). No tiene manera de configurar Proxy, ni archivos temporales o cache (algo que un navegador serio sí tiene). Tampoco hay manera de bloquear elementos como la Publicidad... al menos que requiera un plugin... y para que le seguimos... es un navegador de tercera y fuera de competencia al igual que tu comentario. Desinstalando.
Pues firefox es el navegador q mas me gusta, simplemente porq tienen un monton de plugins q ayudan en el dia a dia.
Las extensiones, pues tendras 50.000 pero no creo q ni te instales mas de 10 de esas, ya q normalmente solo se instalan aquellas q vas a usar o te son utiles el dia a dia, no creo q los usuarios digan "vamos a probar todas".
Ademas quien en su sano juicio guarda las claves de los bancos en el navegador??? Si inventaron el https para navegar cifradamente por si alguien escucha tu conexion, y luego la guardas en el navegador de casa, donde ni esta cifrada e incluso si vas a opciones puedes hasta ver la contraseña por pantalla. Es como si te pones una puerta blindada en casa y la dejas abierta y con las llaves por fuera.
un saludo ;)
Ya son varios los titulares amarillistas en este blog.
De verdad entre el favoritismo subliminal a aplee y estas noticias mal redactadas de firefox meda a pensar que en genbeta odian a firefox, es una pena que un blog no sea suficiente para desbancar al navegador que teniendo una cuota del 0%, con un dominio total y opresivo del IE se hiso un hueco en el mercado y trazo el camino de los navegadores libres y gratuitos.
Yo personalmente y desde chrome lo dijo espero el firefox 4 para que se convierta en mi navegador por defecto.
Siempre va a haber un agujero que alguien pueda aprovechar, por muy pequeño que sea...el chiste esta en actuar rápido y reconocer los errores... errar es de humanos, pero rectificar es de sabios..
Yo siempre he sido de Firefox por la seguridad que me ha dado al navegar por internet. De siempre he tenido mis 5 navegadores (XD por si se "estropea" uno, poder usar otro) que son Internet Explorer (porque viene con Windows que si no ni lo instalaba), Firefox, Safari (este no lo utilizo mucho), Google Chrome (este tampoco es que lo utilice mucho) y por último el Opera. Este último es el que actualmente estoy utilizando y es el que mejor me va y también el que más seguridad me dá, ya que he tenido unos problemas recientemente con el navegador Firefox.
Simplemente recomendaros que los que aún no hayáis probado este navegador lo provéis. Para mi, actualmente, es el navegador más rápido en las busquedas, mas estable y más seguro que hay. Y lo mejor de todo es que esto lo consigue sin necesidad de plugins.
Saludos!!!
-- editado por última vez a las 14:12
Por eso uso LastPass...
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect