去年7月，我们指出Google Reader Notifier扩展已经变成了垃圾软件，NoScript插件正在劫持另一个扩展，甚至快速拨号扩展也在向你发送垃圾邮件，所以一个扩展与一个成熟的特洛伊木马捆绑在一起只是时间问题。

上一次，它只是简单的垃圾邮件链接出现在你的浏览器，并跟踪网址你要真的令人沮丧和邪恶，但不一定是世界末日，因为它不会接管你的电脑。

昨天，Mozilla插件博客报道说，两个扩展包含恶意木马，劫持了你的电脑。

Two experimental add-***, Version 4.0 of Sothink Web Video Downloader and all versi*** of Master Filer were found to contain Trojan code aimed at Windows users. Version 4.0 of Sothink Web Video Downloader contained Win32.LdPinch.gen, and Master Filer contained Win32.Bifrose.32.Bifrose Trojan. Both add-*** have been disabled on AMO.

如果你在任何时候都安装了这些扩展，你应该确保在你的电脑上运行一个完整的病毒扫描。

关于Firefox扩展安全性的讨论

不要再咆哮了，让我引用上次我说的话…

What’s to stop yet another Firefox extension from turning into badware, sneaking in tracking codes, or stealing your personal information? It’s already happened with two of the most popular extensi***… Somebody at Mozilla needs to do something about this.

Mozilla目前的流程是对扩展运行自动病毒扫描程序，因此他们在流程中添加了更多的扫描工具。这并不能解决真正的问题，因为任何有一定技能的病毒程序员都可以编写一个定制的病毒，而这些病毒不会被任何商业病毒扫描工具发现。当然，有些工具有可能检测到rootkit和一些更糟糕的技术，但这并不能完全阻止这个问题。

就我而言，真正的问题甚至不是传统的病毒。如果有人编写一个本机Firefox扩展，只需获取你的所有密码并将其发送到一个恶意网站，那会有多困难？没有安全层来阻止加载项访问存储在浏览器中的个人信息，也没有病毒扫描程序会检测到原生的Firefox扩展，因为它们是用Javascript编写的。

部分解

没有人指望Mozilla扫描每一个容易出现人为错误的扩展的源代码。不过，有必要设置一些安全层，以防止加载项访问存储在浏览器中的任何个人信息，除非您特别允许它们访问。

你能做些什么来保证安全？

你应该确保在安装扩展之前检查一下对它的评论，不要只听别人的话，当他们为扩展担保的时候……一定要做你的尽职调查，先检查一下。同样的道理也适用于任何应用程序，当然，如果你在安装应用程序时没有进行病毒扫描，那么你的电脑就会被劫持。

请阅读：AMO上的安全问题[Mozilla插件博客]