Mozilla本周宣布，所有Firefox擴展開發人員都必須為其帳戶啟用雙因素身份驗證（2FA）。“從2020年初開始，擴展開發人員將需要在AMO（addons.mozilla.org）上啟用2FA，” Mozilla擴展社區經理Caitlin Neiman在官方博客這樣寫道。“這是為了防止惡意攻擊者控制合法的擴展及其用戶。”

發生這種情況時，黑客可以使用開發人員的帳戶向Firefox用戶發送受感染的擴展更新。攻擊者還可以使用受感染的擴展來竊取密碼、身份驗證/會話cookie，監視用戶的瀏覽習慣，或將用戶重定向到網絡釣魚頁面或惡意軟件下載站點等等。這些類型的事件通常稱為供應鏈攻擊。發生這種情況時，最終用戶無法檢測到擴展更新是否是惡意的，尤其是當受感染的更新來自官方Mozilla AMO——所有Firefox用戶都認為是安全的來源時。

而雙因素身份驗證（2FA）通過在登錄過程中增加其他步驟來證明用戶的真實身份，能夠為帳戶增加一層安全保護。Mozilla 決定強制擴展開發人員啟用2FA，以此防止可能會發生的供應鏈攻擊。

儘管近年來沒有針對Firefox 擴展的AMO 帳戶被劫持的案例，但有許多Chrome 擴展程序被劫持的案例。Chrome 擴展程序的開發人員經常受到網絡釣魚電子郵件的攻擊，黑客試圖通過這些電子郵件來嘗試訪問其Chrome 網絡應用商店的帳戶。

通常，這類攻擊主要針對Chrome 擴展程序開發人員，因為Chrome 瀏覽器的市場佔有率為65％-70％。僅佔10％ 的Firefox 對攻擊者的吸引力相對較小。但是，Mozilla 足夠警惕，採取了先發製人的行為。

Mozilla告知，用戶可以按照  support.mozilla.org中的說明，在新規則生效之前為自己的帳戶啟用雙因素身份驗證（2FA）。

消息來源：https://www.zdnet.com/article/mozilla-to-force-all-add-on-devs-to-use-2fa-to-prevent-supply-chain-attacks/