Vo Firefoxe pre Android bola objavená závažná chyba, ktorá umožňuje „uniesť“ ďalšie telefóny pripojené k rovnakej WiFi
Chyba v prehliadači Firefox paradoxne ohrozuje používateľov pripojených k rovnakej WiFi, ako je pripojený používateľ s chybnou verziou prehliadača
V prehliadači Firefox pre Android zariadenia bola objavená závažná bezpečnostná chyba, ktorá paradoxne vystavuje v nebezpečenstvo najme používateľa ďalších zariadení, ktorí sú prihlásení k rovnakej WiFi sieti, ako je prihlásený používateľ s chybovou verziou prehliadača Firefox. Na chybu upozorňujú analytici z gitlab.com.
Pomocou chyby v Firefoxe je možné „uniesť“ cudzie zariadenia
Bezpečnostní výskumníci vo Firefoxe našli závažnú chybu, ktorá ohrozuje hlavne používateľov pripojených k rovnakej WiFi sieti, ako je používateľ s chybovou verziou prehliadača Firefox. Pomocou objavenej chyby je totiž možné „uniesť“ telefóny ďalších používateľov pripojených k rovnakej sieti.
Ako analytici vysvetľujú, tak pomocou Simple Service Discovery Protocol (SSDP) v prehliadači Firefox, je možné objaviť ďalšie zariadenia pripojené k rovnakej WiFi. Po objavení zariadení pripojených k sieti, Firefox SSDP dostane prístup k XML súboru, ktorý zodpovedá špecifikáciám UPnP (pozn. redakcie: Universal Plug and Play (UPnP) – ide o sadu sieťových protokolov, ktorá umožňuje zariadeniam v sieti navzájom sa objavovať a vytvárať funkčné spojenia na zdieľanie údajov, komunikáciu, a podobne).
Chris Moberly, výskumník, ktorý poukázal na chybu hovorí, že útočník namiesto poskytnutia umiestnenia súboru XML s popisom zariadenia UPnP, je schopný spustiť škodlivý server SSDP, ktorý reaguje so špeciálne vytvorenou správou poukazujúcou na identifikátor URI Androidu.
Moberly ďalej hovorí, že využitie chyby nie je vôbec tak náročné, ako to na prvé počutie môže znieť. Dôvodom je, že útok si nevyžaduje žiadnu interakciu používateľa, resp. obete útoku. Úspešné útoky umožňujú útočníkovi otvorenie škodlivých odkazov na iných zariadeniach, napríklad za cieľom phishingových útokov, alebo inštalovať škodlivé aplikácie na zariadenia.
Neprehliadni
Nižšie na videu si môžete pozrieť demonštráciu tohto útoku.
Found a neat little Firefox for Android bug. Current version is not vulnerable, please make sure you are up to date. 🙂 https://t.co/p31XPGBsze pic.twitter.com/coG3tcMiAI
— initstring (@init_string) September 15, 2020
Exploitation of LAN vulnerability found in Firefox for Android
I tested this PoC exploit on 3 devices on same wifi, it worked pretty well.
I was able to open custom URL on every smartphone using vulnerable Firefox (68.11.0 and below) found by @init_string https://t.co/c7EbEaZ6Yx pic.twitter.com/lbQA4qPehq— Lukas Stefanko (@LukasStefanko) September 18, 2020
Riešením je aktualizácia prehliadača na novšiu verziu
Dobrou správou je, že chyba už bola odstránená. Vo verzii prehliadača Firefox 79 pre mobilné zariadenia, chyba už nie je prítomnou. Čo sa týka desktopových verzií prehliadača, tak tie neboli touto chybou poznačené.
Komentáre