...
Truques de vida, dicas úteis, recomendações. Artigos para homens e mulheres. Escrevemos sobre tecnologia e sobre tudo o que é interessante.

Bug no Firefox permite que navegadores sejam sequestrados por Wi-Fi

2

Recomendamos que atualize imediatamente o Firefox para Android para a versão mais recente, caso ainda não o tenha feito.

A Mozilla corrigiu um bug que poderia sequestrar todos os navegadores Firefox em smartphones Android na mesma rede Wi-Fi e forçar os usuários a navegar para sites maliciosos, de acordo com o ZDNet.

O bug foi descoberto por Chris Moberly, um pesquisador de segurança australiano que trabalha para o GitLab.

A vulnerabilidade real está no componente SSDP do Firefox. SSDP significa Simple Service Discovery Protocol e é o mecanismo pelo qual o Firefox encontra outros dispositivos na mesma rede para compartilhar ou receber conteúdo (como compartilhar streams de vídeo com um dispositivo Roku).

Quando os dispositivos são descobertos, o componente Firefox SSDP recupera a localização do arquivo XML que armazena a configuração do dispositivo.

No entanto, Moberly descobriu que em versões mais antigas do Firefox, era possível ocultar os comandos "intent" do Android neste XML e forçar o navegador a executar um "intent", que poderia ser um comando normal, como dizer ao Firefox para acessar um link .

Exemplo de um cenário operacional

Para entender melhor como esse bug pode ser explorado, imagine um cenário em que um hacker entra em um aeroporto ou shopping, conecta-se a uma rede Wi-Fi e executa um script em seu laptop que envia pacotes SSDP malformados pela rede .

Qualquer proprietário de Android que usar o navegador Firefox durante esse tipo de ataque será forçado a acessar um site malicioso ou instalar uma extensão maliciosa.

Outro cenário: um invasor tem como alvo roteadores WiFi vulneráveis. Os hackers podem usar exploits para sequestrar roteadores desatualizados e então se infiltrar na rede interna de uma empresa para redirecionar os funcionários para páginas de phishing, forçando-os a se autenticar novamente.

No início desta semana, Moberly publicou um código que pode ser usado para realizar tais ataques. Abaixo estão dois vídeos nos quais Moberly e um pesquisador de segurança da ESET demonstram o ataque.

Moberly disse que relatou o bug à Mozilla no início deste verão.

O bug foi corrigido no Firefox 79; no entanto, muitos usuários podem não ter a versão mais recente. O Firefox para desktop não foi afetado.

Recomendamos que atualize imediatamente o Firefox para Android para a versão mais recente, caso ainda não o tenha feito.

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação