Баг Firefox под Android и атака по Wi-Fi

21 сентября 2020 г. 12:18
 13966

Если вы используете веб-браузер Firefox на своих смартфонах, убедитесь, что он обновлен до версии 80 или до последней доступной версии в Google Play Store.

Уважаемые пользователи Android, если вы используете веб-браузер Firefox на своих смартфонах, убедитесь, что он обновлен до версии 80 или до последней доступной версии в Google Play Store.

Исследователь безопасности ESET Лукас Стефанко разместил в твиттере предупреждение, демонстрирующее эксплуатацию недавно раскрытой уязвимости удаленного выполнения команд с высокой степенью риска, влияющей на приложение Firefox для Android.

Уязвимость, обнаруженная австралийским исследователем безопасности Крисом Моберли, находится в движке SSDP браузера, который может быть использован злоумышленником для атаки на смартфоны Android с установленным приложением Firefox, подключенные к той же сети Wi-Fi, что и атакующий.

SSDP расшифровывается как Simple Service Discovery Protocol и представляет собой протокол на основе UDP, который является частью UPnP для поиска других устройств в сети. Firefox для Android периодически посылает SSDP сообщения об обнаружении другим устройствам, подключенным к той же самой сети, ищет устройства с дополнительными экранами для трансляции изображения с телефона.

Любое устройство в локальной сети может ответить на эти сообщения и предоставить местоположение для получения подробной информации об устройстве UPnP, после чего Firefox пытается получить доступ к этому местоположению, ожидая найти XML-файл, соответствующий спецификациям UPnP.

Согласно отчету об уязвимости, который Крис Моберли предоставил команде Firefox, с помощью SSDP-движка браузера Firefox, может быть запущен Android-intent путем замены расположения XML-файла в ответных пакетах специально созданным сообщением, указывающим на URI Android-intent.

Для этого злоумышленник, подключенный к целевой сети Wi-Fi, может запустить на своем устройстве вредоносный SSDP-сервер и вызвать команды, основанные на Android-intent, на близлежащих устройствах Android через Firefox без необходимости какого-либо взаимодействия с жертвами.

Разрешенные Android-intent действия включают в себя автоматический запуск браузера и открытие любого определенного URL, чего, по мнению исследователей, достаточно для кражи учетных данных, установки вредоносных приложений и совершения множества других злонамеренных операций с устройством жертвы.

«Цель атаки просто должна иметь запущенное приложение Firefox на своем телефоне. Не нужно посещать никакие вредоносные веб-сайты или переходить по каким-либо вредоносным ссылкам. Не требуется установка вредоносных приложений. Жертва может просто потягивать кофе, сидя в кафе с подключенным Wi-Fi, а ее устройство начнет запускать UR приложений под контролем злоумышленника», - заявил Моберли.

«Эту уязвимость легко можно было бы использовать в фишинговых атаках, например, просто открыв вредоносный сайт на телефоне жертвы в надежде, что она введет какую-нибудь конфиденциальную информацию или согласится установить вредоносное приложение».

Несколько недель назад Моберли сообщил об этой уязвимости команде Firefox, которую производитель браузера исправил в Firefox для Android версий 80 и более поздних.

Моберли также выпустил доказательство концепции эксплойта, который Стефанко использовал для демонстрации проблемы в видео выше против трех устройств, подключенных к одной и той же сети.

 

Перевод сделан со статьи https://thehackernews.com