22 Settembre 2020 - Tempo di lettura: 5 minuti
Gli sviluppatori Mozilla hanno corretto un bug critico che avrebbe potuto essere sfruttato per dirottare qualsiasi versione del browser Firefox per Android, costringendo l'utente di destinazione ad accedere a siti dannosi.
Chris Moberly, ricercatore di GitLab, ha scoperto questo difetto, menzionando ulteriormente che lo sfruttamento richiede che l'hacker sia connesso alla stessa rete WiFi dello smartphone compromesso.
Secondo il rapporto, il difetto risiede nel componente Simlpe Service Discovery Protocol (SSDP) del browser mobile, che è responsabile della ricerca di altri dispositivi sulla stessa rete per condividere o ricevere contenuti. In altre parole, questo è il componente che ti consente di condividere flussi video con piattaforme come YouTube, Roku, tra gli altri.
Quando viene rilevato un dispositivo, il componente SSDP ottiene la posizione di un file XML in cui sono archiviate le impostazioni del dispositivo. L'esperto ha scoperto che nelle versioni precedenti di Firefox è possibile nascondere i comandi “intent” di Android, consentendo al browser mobile di eseguire tali comandi, generando comportamenti anomali in Firefox.
“Immaginiamo un hacker che entra in un aeroporto o in un centro commerciale, si connette alla rete WiFi del sito e lancia uno script che invia spam attraverso pacchetti SSDP appositamente progettati; questa attività comprometterebbe qualsiasi dispositivo Android con Firefox mobile installato, il che potrebbe portare ad attacchi di phishing, installazione di estensioni dannose, tra gli altri scenari", afferma l'esperto.
In un altro scenario di attacco descritto, gli hacker potrebbero trarre vantaggio dai guasti sui router più insicuri per inviare spam alle reti di un'organizzazione e rubare le credenziali di accesso degli utenti. Il ricercatore ha pubblicato alcuni video insieme alla sua prova di concetto.
Il rapporto è stato presentato a Mozilla alcuni mesi fa, quindi l'aggiornamento di Firefox 79 è stato rilasciato per correggere i difetti, anche se è molto probabile che molti utenti non effettueranno ancora l'aggiornamento alla versione corretta. Le versioni desktop di Firefox non sono state interessate da questo difetto. A questo proposito, Mozilla non ha aggiunto ulteriori dettagli tecnici del difetto, sebbene abbia consigliato agli utenti di eseguire l'aggiornamento a versioni più recenti.