Error de verificación de firmas en Mozilla provoca fallas en extensiones de navegador

Expertos en cómputo forense reportan una falla de seguridad relacionada con firmas digitales en Mozilla que está afectando principalmente a los usuarios del navegador Tor; hasta ahora, la compañía sólo ha mencionado problemas con certificados intermedios que han expirado.

En días recientes, los usuarios de Tor se encontraron con una ventana emergente en el navegador mencionando que una de las extensiones se encontraba comprometida, por lo que había sido desactivada. No se ofrecían más detalles, pues la alerta sólo mencionaba “un problema de ciberseguridad”.

Al comenzar a investigar el incidente, especialistas en cómputo forense descubrieron que la extensión en cuestión, NoScript, no pudo ser verificada por el navegador Tor, a pesar de ser una extensión aceptada por este navegador. NoScript es una extensión de seguridad importante en el uso de este navegador, además es compatible con otros navegadores.

Esta alerta disparó las dudas sobre la seguridad en el navegador, pues existía la posibilidad de que actores de amenazas lograran inyectar una versión falsa de NoScript en Tor, o incluso podría tratarse de una vulnerabilidad crítica en Firefox, pues esta versión comprometida de la extensión se instaló sin autorización de los usuarios.

Desde la versión 44 de Firefox, lanzada a principios de 2016, Mozilla implementó una política para dejar de permitir extensiones de navegador sin firmar, por lo que ahora la compañía decide cuáles complementos permite y cuáles no.

Poco después de revelarse el incidente, Mozilla publicó a través de su cuenta de Twitter: “Estamos investigando un incidente de seguridad con un certificado que podría causar que sus extensiones de navegador dejen de funcionar o no sean instaladas de correctamente. Más detalles serán  publicados en cuanto concluya nuestra investigación”.

Al parecer, la firma digital de NoScript aún no expira, por lo que el problema reside en Mozilla; acorde a los expertos en cómputo forense, Firefox dejó de confiar en NoScript por un problema reside en el proceso de verificación de firmas digitales de Mozilla, no en las extensiones de navegador. Además, parece que la falla afecta la validación de firma digital para cada extensión en cada versión de Firefox. 

Expertos del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que Mozilla lanzó un parche temporal, aunque éste sólo funciona si el usuario cuenta con la característica Mozilla’s Studios activada. El inconveniente es que esta función habilita la recolección de datos del navegador, por lo que esta es una solución incompatible con el uso del navegador Tor en la práctica. 

Como solución alternativa, los usuarios de Tor pueden desactivar temporalmente xpinstall.signatures.required; esta característica debe volver a ser habilitada una vez que Mozilla lance la actualización oficial.