Баг у Firefox дозволяє захоплювати браузери через Wi-Fi

Останнє оновлення Гру 1, 2022

Рекомендуємо вам негайно оновити Firefox для Android до останньої версії, якщо ви цього ще не зробили.

Mozilla виправила помилку, за допомогою якої можна було захопити всі браузери Firefox на смартфонах Android в одній мережі Wi-Fi та змусити користувачів переходити на шкідливі сайти, повідомляє ZDNet.

Помилка була виявлена Крісом Моберлі, австралійським дослідником безпеки, який працює в GitLab.

Фактична вразливість знаходиться у компоненті Firefox SSDP. SSDP розшифровується як Simple Service Discovery Protocol і є механізмом, за допомогою якого Firefox знаходить інші пристрої в тій же мережі, щоб ділитися або отримувати контент (наприклад, спільне використання відеопотоків з пристроєм Roku).

Коли виявлені пристрої, компонент Firefox SSDP отримує місце XML-файлу, в якому зберігається конфігурація цього пристрою.

Однак Моберлі виявив, що у старіших версіях Firefox можна було приховати команди «намірів» Android у цьому XML і змусити браузер виконувати «намір», який може бути звичайною командою, наприклад, повідомити Firefox про необхідність отримання доступу до посилання.

Приклад сценарію експлуатації

Щоб краще зрозуміти, як цю помилку можуть використовувати, уявіть сценарій, в якому хакер заходить в аеропорт або торговий центр, підключається до мережі Wi-Fi, а потім запускає на своєму ноутбуці сценарій, який розсилає по мережі спотворені пакети SSDP.

Будь-який власник Android, який використовує браузер Firefox, під час атаки такого типу буде змушений перейти на шкідливий сайт або встановити шкідливе розширення.

Інший сценарій: зловмисник націлений на вразливі маршрутизатори WiFi. Хакери можуть використовувати експлойти для захоплення застарілих маршрутизаторів, а потім, перейнявши у внутрішню мережу компанії, перенаправляти співробітників на фішингові сторінки, змушуючи повторно проходити автентифікацію.

Раніше цього тижня Moberly опублікував код, який можна використовувати для проведення подібних атак. Нижче наведено два відеоролики, в яких Moberly та дослідник безпеки ESET демонструють атаку.

Моберлі сказав, що раніше цього літа повідомив про помилку в Mozilla.

Помилка виправлена у Firefox 79; однак у багатьох користувачів може бути останньої версії. Firefox для настільних комп’ютерів не постраждав.

Рекомендуємо вам негайно оновити Firefox для Android до останньої версії, якщо ви цього ще не зробили.