Пользователи Firefox для Android находятся под опасностью взлома
137
0
Уязвимость в браузере Firefox для Android позволяет злоумышленникам атаковать устройство через Wi-Fi. Ошибка была обнаружена Крисом Моберли, австралийским исследователем безопасности, работающим в GitLab.
Фактическая уязвимость находится в компоненте Firefox SSDP. SSDP расшифровывается как Simple Service Discovery Protocol и представляет собой механизм, с помощью которого Firefox находит другие устройства в одной Wi-Fi сети, чтобы пользователи могли делиться или получать контент.
Моберли обнаружил, что в более старых версиях Firefox можно заставить браузер Firefox выполнять команды, например, открыть доступ к ссылке.
Чтобы лучше понять, как эту ошибку можно использовать в качестве оружия, представьте случай, в котором хакер заходит в аэропорт или торговый центр, подключается к сети Wi-Fi, а затем запускает на своем ноутбуке сценарий, который рассылает в сеть искаженные пакеты SSDP.
Любой владелец Android, использующий браузер Firefox во время атаки такого рода, может быть взломан и вынужден перейти на вредоносный сайт или установить вредоносное расширение Firefox.
Другой сценарий - если злоумышленник атакует уязвимые Wi-Fi роутеры. Злоумышленники могут использовать эксплойты для захвата устаревших роутеров, а затем заспамить внутреннюю сеть компании и заставить сотрудников повторно проходить аутентификацию на фишинговых страницах.
Ниже приведены два видеоролика, в которых Moberly и исследователь безопасности ESET демонстрируют атаки.
Found a neat little Firefox for Android bug. Current version is not vulnerable, please make sure you are up to date. :) https://t.co/p31XPGBsze pic.twitter.com/coG3tcMiAI
— initstring (@init_string) September 15, 2020
Exploitation of LAN vulnerability found in Firefox for Android
I tested this PoC exploit on 3 devices on same wifi, it worked pretty well.
I was able to open custom URL on every smartphone using vulnerable Firefox (68.11.0 and below) found by @init_string https://t.co/c7EbEaZ6Yx pic.twitter.com/lbQA4qPehq
— Lukas Stefanko (@LukasStefanko) September 18, 2020
Ошибка исправлена в Firefox 79; однако у многих пользователей может быть не последняя версия.
Mozilla рекомендует пользователям в целях безопасности обновить Firefox для Android до последней версии.