Ak na svojom Androide používate Firefox, mali by ste ho aktualizovať. Vyhnete sa tak chybe, vďaka ktorej môže útočník získať kontrolu nad zariadením pripojeným v rovnakej WiFi sieti. Takto „unesené“ zariadenia dokážu majiteľov prinútiť, aby navštívili infikované či phishingové webstránky.
Chybu objavil a na GitLabe prezentoval austrálsky výskumník Chris Moberley. O svojom zistení informoval Mozillu, ktorá bug odstránila vo verzii 79. Zraniteľnosť sa týka len mobilov a tabletov, desktopy by mali byť v poriadku.
Found a neat little Firefox for Android bug. Current version is not vulnerable, please make sure you are up to date. 🙂 https://t.co/p31XPGBsze pic.twitter.com/coG3tcMiAI
— initstring (@init_string) September 15, 2020
Stránka na „odporučenie”
Bezpečnostné riziko sa týka protokolu SSDP, pomocou ktorého Firefox hľadá ďalšie zariadenia pripojené na tú istú WiFi sieť za účelom výmeny dát. XML súbor s konfiguračnými dátami, ktorý túto výmenu umožňuje, však obsahoval i informácie o príkazoch operačného systému.
Namiesto obdržania informácií o protichodnom zariadení môže útočník spustiť škodlivý SSDP server, ktorý zariadeniu zadá príkazy – napríklad vstúpiť pomocou prehliadača Firefox na určitú stránku.
Exploitation of LAN vulnerability found in Firefox for Android
— Lukas Stefanko (@LukasStefanko) September 18, 2020
I tested this PoC exploit on 3 devices on same wifi, it worked pretty well.
I was able to open custom URL on every smartphone using vulnerable Firefox (68.11.0 and below) found by @init_string https://t.co/c7EbEaZ6Yx pic.twitter.com/lbQA4qPehq
Ako upozorňuje portál ZDNet, útočník by mohol túto dieru zneužiť pri pripojení na rozsiahlu verejnú sieť, aké sa nachádzajú na letiskách alebo v nákupných centrách. V takomto prípade by mohol naraz útočiť na veľký počet cieľov.
Atraktívnym variantom by bol aj útok na zraniteľný router. Záškodník by tak mohol naviesť napríklad zamestnancov spoločnosti k tomu, aby zadali svoje autentifikačné údaje na falošnej phishingovej stránke.
Krištof Remper