Компания Mozilla объявила об устранении уязвимости, при эксплуатации которой можно захватить контроль над браузером Firefox для android-устройств при нахождении в одной сети Wi-Fi, заставив пользовательский браузер переходить на вредоносные ресурсы и фишинговые страницы авторизации.
Уязвимость была найдена Крисом Моберли (компания GitLab) в компоненте Firefox SSDP (Simple Services Discovery Protocol). Компонент представлен в виде инструмента, при использовании которого Firefox обнаруживает другие устройства Android в сети Wi-Fi, чтобы рассылать или получать контент.
После нахождения устройств в Wi-Fi-сети механизм SSDP получает информацию о расположении XML-файла, где сохраняется конфигурация устройств. Но Крис Моберли выяснил, что в старых версиях браузера можно скрывать «намерения» Android в этом XML-файле, заставляя Firefox исполнять различные «намерения», которые браузер будет считать простыми командами.
Чтобы лучше понять, как данную уязвимость можно применять в качестве основы для кибератаки, можно представить сценарий, в котором киберпреступник приходит на вокзал или супермаркет, подключается к общественной сети Wi-Fi, а затем запускает на своем устройстве сценарий, который рассылает в сеть искаженные пакеты SSDP. Владельцы android-устройств, которые используют браузер Firefox, в этом случае подвергнутся атаке, в ходе которой произойдет автоматический переход на вредоносный сайт или скачивание вредоносного расширения.
Еще одна гипотетическая ситуация складывается, если киберпреступник «работает» с уязвимыми маршрутизаторами Wi-Fi. Хакеры применяют уязвимости для захвата старых версий, либо давно необновляемых маршрутизаторов, а затем спамят внутреннюю сеть компании, заставляя сотрудников заново авторизовываться, но уже на фишинговых страницах.
Ранее на этой неделе Крис Моберли представил тестовый код, который применяется для проведения подобных кибератак. Были представлены два видеоролика на которые Крис Моберли и специалисты по безопасности компании ESET демонстрируют пример проведения таких атак (первый, второй).
Крис Моберли сказал, что ранее этим летом сообщил об ошибке в Mozilla. Уязвимость исправлена в Firefox 79. Версия Firefox для настольных версий не пострадала. Представители Mozilla порекомендовали пользователям в целях безопасности обновить Firefox для Android до последней версии.
