Ti consigliamo di aggiornare immediatamente Firefox per Android all’ultima versione se non lo hai già fatto.
Mozilla ha corretto un bug che potrebbe dirottare tutti i browser Firefox su smartphone Android sulla stessa rete Wi-Fi e costringere gli utenti a navigare verso siti dannosi, secondo ZDNet.
Il bug è stato scoperto da Chris Moberly, un ricercatore di sicurezza australiano che lavora per GitLab.
La vera vulnerabilità è nel componente SSDP di Firefox. SSDP è l’acronimo di Simple Service Discovery Protocol ed è il meccanismo mediante il quale Firefox trova altri dispositivi sulla stessa rete per condividere o ricevere contenuti (come la condivisione di flussi video con un dispositivo Roku).
Quando i dispositivi vengono rilevati, il componente SSDP di Firefox recupera la posizione del file XML che memorizza la configurazione del dispositivo.
Tuttavia, Moberly ha scoperto che nelle versioni precedenti di Firefox era possibile nascondere i comandi "intento" di Android in questo XML e forzare il browser a eseguire un "intento", che potrebbe essere un comando normale, come dire a Firefox di accedere a un collegamento .
Esempio di uno scenario operativo
Per capire meglio come sfruttare questo bug, immagina uno scenario in cui un hacker entra in un aeroporto o in un centro commerciale, si connette a una rete Wi-Fi e quindi esegue uno script sul suo laptop che invia pacchetti SSDP malformati sulla rete .
Qualsiasi proprietario di Android che utilizza il browser Firefox durante questo tipo di attacco sarà costretto a visitare un sito dannoso o installare un’estensione dannosa.
Un altro scenario: un utente malintenzionato prende di mira i router WiFi vulnerabili. Gli hacker possono utilizzare exploit per dirottare router obsoleti e quindi infiltrarsi nella rete interna di un’azienda per reindirizzare i dipendenti a pagine di phishing, costringendoli a ripetere l’autenticazione.
All’inizio di questa settimana, Moberly ha pubblicato un codice che può essere utilizzato per eseguire tali attacchi. Di seguito sono riportati due video in cui Moberly e un ricercatore di sicurezza ESET dimostrano l’attacco.
Moberly ha dichiarato di aver segnalato il bug a Mozilla all’inizio di questa estate.
Il bug è stato corretto in Firefox 79; tuttavia, molti utenti potrebbero non disporre della versione più recente. Firefox per desktop non è stato interessato.
Ti consigliamo di aggiornare immediatamente Firefox per Android all’ultima versione se non lo hai già fatto.