Web Security事件發酵，Mozilla移除23個可疑Firefox外掛程式

在傳出Firefox的外掛程式Web Security會紀錄並傳輸用戶所造訪的每一個網頁之後，Mozilla展開了清除行動，在周五（8/17）移除了包括Web Security在內的23個Firefox外掛程式。

Web Security宣稱是個可保護電腦與使用者隱私的Firefox外掛程式，藉由廣泛的資料庫與即時防護技術來協助使用者避開惡意網頁，安裝次數超過22萬次。不過研究人員發現，Web Security不但紀錄了Firefox用戶所造訪的每個網頁，還以未加密的方式將它們傳送到遠端伺服器。

Mozilla原本還在部落格中推薦Web Security，在遭到外界質疑後，先是自推薦名單中移除Web Security，今日再將Web Security下架。

Mozilla的外掛程式產品經理Jorge Villalobos表示，Web Security事件讓許多問題浮上了檯面，使得他們開始檢驗Firefox外掛程式是否也涉及不適當的行為，包括蒐集不必要的資料、以不安全的方式傳遞資料、未清楚揭露隱私作法、程式碼中隱晦含有遠端執行程式的潛力，以及那些採用同樣程式碼，卻標註不同功能與作者的外掛程式。

在針對上述問題進行檢驗之後，Mozilla直接自Mozilla Add-ons（AMO）網站移除了23個Firefox外掛程式，不過，Villalobos只列出這23個程式的ID，並未列出程式名稱。

Bleeping Computer追蹤這些ID之後，揭露除了Web Security之外，還有與Web Security同樣隸屬於Creative Software Solutions的Browser Security、Browser Privacy與Browser Safety，以及Popup Blocker、Quick AMZ、YTTools、FBTools、DirtyLittleHelpers與CSS IO等外掛程式都已被下架。