Un bogue dans Firefox permet aux navigateurs d’être piratés via Wi-Fi

Nous vous recommandons de mettre immédiatement à jour Firefox pour Android vers la dernière version si vous ne l’avez pas déjà fait.

Mozilla a corrigé un bogue qui pouvait détourner tous les navigateurs Firefox sur les smartphones Android sur le même réseau Wi-Fi et obliger les utilisateurs à naviguer vers des sites malveillants, selon ZDNet.

Le bogue a été découvert par Chris Moberly, un chercheur australien en sécurité travaillant pour GitLab.

La véritable vulnérabilité se trouve dans le composant Firefox SSDP. SSDP signifie Simple Service Discovery Protocol et est le mécanisme par lequel Firefox trouve d’autres appareils sur le même réseau afin de partager ou de recevoir du contenu (comme le partage de flux vidéo avec un appareil Roku).

Lorsque des appareils sont découverts, le composant Firefox SSDP récupère l’emplacement du fichier XML qui stocke la configuration de l’appareil.

Cependant, Moberly a découvert que dans les anciennes versions de Firefox, il était possible de masquer les commandes "d’intention" d’Android dans ce XML et de forcer le navigateur à exécuter une "intention", qui pourrait être une commande normale, comme dire à Firefox d’accéder à un lien. .

Exemple de scénario de fonctionnement

Pour mieux comprendre comment ce bogue peut être exploité, imaginez un scénario dans lequel un pirate entre dans un aéroport ou un centre commercial, se connecte à un réseau Wi-Fi, puis exécute un script sur son ordinateur portable qui envoie des paquets SSDP malformés sur le réseau .

Tout possesseur d’Android utilisant le navigateur Firefox lors de ce type d’attaque sera obligé de se rendre sur un site malveillant ou d’installer une extension malveillante.

Autre scénario: un attaquant cible des routeurs WiFi vulnérables. Les pirates peuvent utiliser des exploits pour détourner des routeurs obsolètes, puis infiltrer le réseau interne d’une entreprise pour rediriger les employés vers des pages de phishing, les forçant à se ré-authentifier.

Plus tôt cette semaine, Moberly a publié un code qui peut être utilisé pour mener de telles attaques. Vous trouverez ci-dessous deux vidéos dans lesquelles Moberly et un chercheur en sécurité d’ESET démontrent l’attaque.

Moberly a déclaré avoir signalé le bogue à Mozilla plus tôt cet été.

Le bogue a été corrigé dans Firefox 79 ; cependant, de nombreux utilisateurs peuvent ne pas disposer de la dernière version. Firefox pour ordinateur n’a pas été affecté.

Nous vous recommandons de mettre immédiatement à jour Firefox pour Android vers la dernière version si vous ne l’avez pas déjà fait.