Soovitame teil Firefox for Android viivitamatult uusimale versioonile värskendada, kui te pole seda veel teinud.
Mozilla on parandanud vea, mis võib ZDNeti andmetel kaaperdada kõik samas Wi-Fi-võrgus olevad Android-nutitelefonide Firefoxi brauserid ja sundida kasutajaid navigeerima pahatahtlikele saitidele .
Vea avastas GitLabis töötav Austraalia turvateadlane Chris Moberly.
Tegelik haavatavus on Firefoxi SSDP komponendis. SSDP tähistab lihtsa teenuse avastamise protokolli ja on mehhanism, mille abil Firefox leiab samast võrgust teisi seadmeid, et sisu jagada või vastu võtta (nt videovoogude jagamine Roku seadmega).
Seadmete avastamisel hangib Firefoxi SSDP komponent XML-faili asukoha, mis salvestab seadme konfiguratsiooni.
Moberly avastas aga, et Firefoxi vanemates versioonides oli võimalik selles XML-is peita Androidi "intent" käsud ja sundida brauserit täitma "intent", mis võib olla tavaline käsk, näiteks käskida Firefoxil linki juurde pääseda. .
Toimimisstsenaariumi näide
Et paremini mõista, kuidas seda viga saab ära kasutada, kujutage ette stsenaariumi, kus häkker siseneb lennujaama või kaubanduskeskusesse, loob ühenduse WiFi-võrguga ja käivitab seejärel oma sülearvutis skripti, mis saadab võrgu kaudu valesti vormindatud SSDP -pakette .
Iga Androidi omanik, kes kasutab seda tüüpi rünnaku ajal Firefoxi brauserit, on sunnitud minema pahatahtlikule saidile või installima pahatahtliku laienduse.
Teine stsenaarium: ründaja sihib haavatavaid WiFi-ruutereid. Häkkerid saavad kasutada ärakasutusi aegunud ruuterite kaaperdamiseks ja seejärel tungida ettevõtte sisevõrku, et suunata töötajad andmepüügilehtedele, sundides neid uuesti autentima.
Selle nädala alguses avaldas Moberly koodi, mida saab kasutada selliste rünnakute läbiviimiseks. Allpool on kaks videot, milles Moberly ja ESET-i turvauurija rünnakut demonstreerivad.
Moberly ütles, et teatas veast Mozillale selle suve alguses.
Viga on parandatud versioonis Firefox 79; paljudel kasutajatel ei pruugi aga uusimat versiooni olla. Firefoxi töölauale see ei mõjutanud.
Soovitame teil Firefox for Android viivitamatult uusimale versioonile värskendada, kui te pole seda veel teinud.