...
Truques de vida, dicas úteis, recomendações. Artigos para homens e mulheres. Escrevemos sobre tecnologia e sobre tudo o que é interessante.
ComputadoresInternetNotícia

Bug no Firefox permite que navegadores sejam sequestrados por Wi-Fi

3

Recomendamos que atualize imediatamente o Firefox para Android para a versão mais recente, caso ainda não o tenha feito.

A Mozilla corrigiu um bug que poderia sequestrar todos os navegadores Firefox em smartphones Android na mesma rede Wi-Fi e forçar os usuários a navegar para sites maliciosos, de acordo com o ZDNet.

O bug foi descoberto por Chris Moberly, um pesquisador de segurança australiano que trabalha para o GitLab.

A vulnerabilidade real está no componente SSDP do Firefox. SSDP significa Simple Service Discovery Protocol e é o mecanismo pelo qual o Firefox encontra outros dispositivos na mesma rede para compartilhar ou receber conteúdo (como compartilhar streams de vídeo com um dispositivo Roku).

Quando os dispositivos são descobertos, o componente Firefox SSDP recupera a localização do arquivo XML que armazena a configuração do dispositivo.

No entanto, Moberly descobriu que em versões mais antigas do Firefox, era possível ocultar os comandos "intent" do Android neste XML e forçar o navegador a executar um "intent", que poderia ser um comando normal, como dizer ao Firefox para acessar um link .

Exemplo de um cenário operacional

Para entender melhor como esse bug pode ser explorado, imagine um cenário em que um hacker entra em um aeroporto ou shopping, conecta-se a uma rede Wi-Fi e executa um script em seu laptop que envia pacotes SSDP malformados pela rede .

Qualquer proprietário de Android que usar o navegador Firefox durante esse tipo de ataque será forçado a acessar um site malicioso ou instalar uma extensão maliciosa.

Outro cenário: um invasor tem como alvo roteadores WiFi vulneráveis. Os hackers podem usar exploits para sequestrar roteadores desatualizados e então se infiltrar na rede interna de uma empresa para redirecionar os funcionários para páginas de phishing, forçando-os a se autenticar novamente.

No início desta semana, Moberly publicou um código que pode ser usado para realizar tais ataques. Abaixo estão dois vídeos nos quais Moberly e um pesquisador de segurança da ESET demonstram o ataque.

Moberly disse que relatou o bug à Mozilla no início deste verão.

O bug foi corrigido no Firefox 79; no entanto, muitos usuários podem não ter a versão mais recente. O Firefox para desktop não foi afetado.

Recomendamos que atualize imediatamente o Firefox para Android para a versão mais recente, caso ainda não o tenha feito.

você pode gostar também Mais do autor

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação