Баг в Firefox позволяет захватывать браузеры через Wi-Fi

Баг в Firefox позволяет захватывать браузеры через Wi-Fi

Рекомендуем вам незамедлительно обновить Firefox для Android до последней версии, если вы еще этого не сделали.

Mozilla исправила ошибку, с помощью которой можно было захватить все браузеры Firefox на смартфонах Android в одной сети Wi-Fi и заставить пользователей переходить на вредоносные сайты, сообщает ZDNet.

Ошибка была обнаружена Крисом Моберли, австралийским исследователем безопасности, работающим в GitLab.

Фактическая уязвимость находится в компоненте Firefox SSDP. SSDP расшифровывается как  Simple Service Discovery Protocol  и представляет собой механизм, с помощью которого Firefox находит другие устройства в той же сети, чтобы делиться или получать контент (например, совместное использование видеопотоков с устройством Roku).

Когда устройства обнаруживаются, компонент Firefox SSDP получает местоположение XML-файла, в котором хранится конфигурация этого устройства.

Однако Моберли обнаружил, что в более старых версиях Firefox можно было скрыть команды  «намерений» Android  в этом XML и заставить браузер выполнять «намерение», которое может быть обычной командой, например, сообщить Firefox о необходимости получения доступа к ссылке.

Пример сценария эксплуатации

Чтобы лучше понять, как эту ошибку могут использовать, представьте сценарий, в котором хакер заходит в аэропорт или торговый центр, подключается к сети Wi-Fi, а затем запускает на своем ноутбуке сценарий, который рассылает по сети искаженные пакеты SSDP.

Любой владелец Android, использующий браузер Firefox, во время атаки такого типа, будет вынужден перейти на вредоносный сайт или установить вредоносное расширение.

Другой сценарий: злоумышленник нацелен на уязвимые WiFi маршрутизаторы. Хакеры могут использовать эксплойты для захвата устаревших маршрутизаторов, а затем, проникнув во внутреннюю сеть компании, перенаправлять сотрудников на фишинговые страницы, заставляя повторно проходить аутентификацию.

Ранее на этой неделе Moberly опубликовал код,  который можно использовать для проведения подобных атак. Ниже приведены два видеоролика, в которых Moberly и исследователь безопасности ESET демонстрируют атаку.

Моберли сказал, что ранее этим летом сообщил об ошибке в Mozilla.

Ошибка исправлена ​​в Firefox 79; однако у многих пользователей может не быть последней версии. Firefox для настольных компьютеров не пострадал.

Рекомендуем вам незамедлительно обновить Firefox для Android до последней версии, если вы еще этого не сделали.


Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.




Great! Next, complete checkout for full access to Эксплойт
Welcome back! You've successfully signed in
You've successfully subscribed to Эксплойт
Success! Your account is fully activated, you now have access to all content
Success! Your billing info has been updated
Your billing was not updated