Federico Almada

Si bien el problema de Mozilla Firefox, con su plugin de idioma Vietnamita, no fue precisamente por una actualización automática, si lo fue con un componente que permite dicho tipo de comportamiento.

Estos componentes ‘agregados’ a cualquier producto, normalmente incrementan el valor de la ‘base’ en donde corren (en este caso, el navegador Firefox), también representan un buen vector de ataque para quien tenga un poco de idea del asunto.

Es decir, el comportamiento de Firefox (como muchos otros programas que se actualizan), es avisarte de las “novedades” en los plugins instalados, ni bien inicias el programa. En mi caso, nunca suelo actualizar de primera mano… si, aunque parezca muy paranoico, reviso que cada autor de cada uno de los sitios de plugins, realmente haya presentado una actualización (nunca se sabe!). Como no tengo muchos plugins instalados (6 en total), la tarea es realmente sencilla… aunque, es una tarea que me tomo por mi cuenta para maximizar mi sensación de seguridad (porque aún así revise que cada actualización sea real, nada me dice si el autor ha decidido incorporar una puerta trasera que pasará desapercibida).

Aún así, el tema es que con productos como Windows Update, o el propio actualizador del iTunes (que hasta hace un tiempo instalaba automáticamente Safari), el usuario normalmente se fia de que todo lo que suceda por ahí… en realidad ‘está bien’… nada puede pasar, paz y amor para todos… (ojalá así fuera).

Distintas formas de ataques para este tipo de “vulnerabilidad” (digamos, porque en cierta forma estamos expuestos a ser perjudicados por esa vía), podrían ir desde el mero reemplazo del archivo de hosts de nuestra máquina, apuntando a otro sitio que simule ser un espejo del de Firefox (descargando actualizaciones que si bien parecen reales, podrían ser todas truncadas); hasta la actualización “real” con errores, insertados por el propio autor.

Viéndolo desde el lado lucrativo y poco ético, cualquiera con un plugin suficientemente exitoso (iba a hacer mención de uno, pero mejor no dar ideas), puede hacerse con un buen caudal de máquinas zombies, si explotase algún error que le permitiese salir del propio entorno de Firefox, sin que el usuario siquiera lo note.

Por eso, si bien no aconsejaría que se pongan a leer el código fuente de cada actualización publicada en Firefox, quizás tomar algunas precauciones previo a dicho ‘update’:

• Mantener la cantidad de extensiones “habilitadas” en una cantidad razonable (a mayor cantidad de extensiones instaladas Y habilitadas, mayor es la posibilidad de que resultemos vulnerables)
• Evitar extensiones que se instalan directamente desde la web del autor: si mal no tengo entendido (al menos cuando desarrolle un plugin para Firefox 1.0), cada upload que hacemos al sitio de Firefox, es revisado por gente que está allí, para minimizar problemas (no garantizan seguridad total, pero al menos el desarrollador deberá ser muy listo para pasarse esta barrera)
• Visitar de vez en cuando las webs de los desarrolladores de las extensiones que tengamos (o al menos, las que aparezcan en Mozilla Addons). Allí nos podremos enterar de los comentarios que hagan otros sujetos sobre dicho Plugin… y quien sabe, quizás nos llevamos una sorpresa (algún plugin puede ser vulnerable, y no recibir más actualizaciones… con el consecuente riesgo que nos implica tener dicha vulnerabilidad “abierta”)
• Leer el sitio de seguridad de Firefox, va.. en realidad, una categoría en su blog (si bien es tedioso, al menos sirve para paranoicos como quien les escribe)

Resumiendo, la mejor cura, es estar informado.

En cuanto a otros actualizadores, como el del sistema operativo y programas que utilicemos, los consejos son similares… solo que deberán ver que página de la empresa deberían tener presente como para informarse (cualquier anomalía luego de una actualización, es digna de una visita a la web del autor de dicho software).