Mozilla將要求所有火狐Firefox擴展開發(fā)者啟用雙因素認證

Mozilla本周宣布，所有Firefox擴展開發(fā)人員都必須為其帳戶啟用雙因素身份驗證(2FA)。

“從2020年初開始，擴展開發(fā)人員將需要在AMO(addons.mozilla.org)上啟用2FA，”Mozilla擴展社區(qū)經(jīng)理Caitlin Neiman在官方博客這樣寫道。“這是為了防止惡意攻擊者控制合法的擴展及其用戶。”

發(fā)生這種情況時，黑客可以使用開發(fā)人員的帳戶向Firefox用戶發(fā)送受感染的擴展更新。攻擊者還可以使用受感染的擴展來竊取密碼、身份驗證/會話cookie，監(jiān)視用戶的瀏覽習慣，或將用戶重定向到網(wǎng)絡釣魚頁面或惡意軟件下載站點等等。這些類型的事件通常稱為供應鏈攻擊。發(fā)生這種情況時，最終用戶無法檢測到擴展更新是否是惡意的，尤其是當受感染的更新來自官方Mozilla AMO——所有Firefox用戶都認為是安全的來源時。

而雙因素身份驗證(2FA)通過在登錄過程中增加其他步驟來證明用戶的真實身份，能夠為帳戶增加一層安全保護。Mozilla決定強制擴展開發(fā)人員啟用2FA，以此防止可能會發(fā)生的供應鏈攻擊。

盡管近年來沒有針對Firefox擴展的AMO帳戶被劫持的案例，但有許多Chrome擴展程序被劫持的案例。Chrome擴展程序的開發(fā)人員經(jīng)常受到網(wǎng)絡釣魚電子郵件的攻擊，黑客試圖通過這些電子郵件來嘗試訪問其Chrome網(wǎng)絡應用商店的帳戶。

通常，這類攻擊主要針對Chrome擴展程序開發(fā)人員，因為Chrome瀏覽器的市場占有率為65%-70%。僅占10%的Firefox對攻擊者的吸引力相對較小。但是，Mozilla足夠警惕，采取了先發(fā)制人的行為。

Mozilla告知，用戶可以按照support.mozilla.org中的說明，在新規(guī)則生效之前為自己的帳戶啟用雙因素身份驗證(2FA)。