Vi rekommenderar att du omedelbart uppdaterar Firefox för Android till den senaste versionen om du inte redan har gjort det.
Mozilla har fixat en bugg som kan kapa alla Firefox-webbläsare på Android-smarttelefoner på samma Wi-Fi-nätverk och tvinga användare att navigera till skadliga webbplatser, enligt ZDNet.
Felet upptäcktes av Chris Moberly, en australisk säkerhetsforskare som arbetar för GitLab.
Den faktiska sårbarheten finns i Firefox SSDP – komponenten. SSDP står för Simple Service Discovery Protocol och är den mekanism med vilken Firefox hittar andra enheter på samma nätverk för att dela eller ta emot innehåll (som att dela videoströmmar med en Roku-enhet).
När enheter upptäcks hämtar Firefox SSDP-komponenten platsen för XML-filen som lagrar enhetens konfiguration.
Moberly upptäckte dock att det i äldre versioner av Firefox var möjligt att dölja Androids "avsiktskommandon" i denna XML och tvinga webbläsaren att köra en "avsikt", vilket kan vara ett normalt kommando, som att säga åt Firefox att komma åt en länk .
Exempel på ett driftscenario
För att bättre förstå hur denna bugg kan utnyttjas, föreställ dig ett scenario där en hackare går in på en flygplats eller ett köpcentrum, ansluter till ett Wi-Fi-nätverk och sedan kör ett skript på sin bärbara dator som skickar felaktiga SSDP- paket över nätverket .
Alla Android-ägare som använder webbläsaren Firefox under denna typ av attack kommer att tvingas gå till en skadlig webbplats eller installera en skadlig tillägg.
Ett annat scenario: En angripare riktar sig mot sårbara WiFi-routrar. Hackare kan använda utnyttjande för att kapa föråldrade routrar och sedan infiltrera ett företags interna nätverk för att omdirigera anställda till nätfiskesidor, vilket tvingar dem att autentisera sig på nytt.
Tidigare i veckan publicerade Moberly en kod som kan användas för att utföra sådana attacker. Nedan finns två videor där Moberly och en säkerhetsforskare från ESET demonstrerar attacken.
Moberly sa att han rapporterade felet till Mozilla tidigare i somras.
Felet har åtgärdats i Firefox 79; men många användare kanske inte har den senaste versionen. Firefox för skrivbordet påverkades inte.
Vi rekommenderar att du omedelbart uppdaterar Firefox för Android till den senaste versionen om du inte redan har gjort det.