Mozilla修复了一个漏洞,该漏洞可被滥用来劫持同一WiFi网络上的所有Firefox for Android浏览器,并迫使用户访问恶意网站,如网络钓鱼页面。
该漏洞是由Chris Moberly发现的,一位为GitLab工作的澳大利亚安全研究员。
实际漏洞存在于Firefox SSDP组件中。SSDP代表简单服务发现协议,是Firefox在同一网络上查找其他设备以共享或接收内容(即。,例如与Roku设备共享视频流)。
当找到设备时,Firefox SSDP组件将获取存储该设备配置的XML文件的位置。
然而,Moberly发现在旧版本的Firefox中,你可以隐藏Android”intent“命令,并让Firefox浏览器执行“intent”,这可能是一个常规命令,类似于告诉Firefox访问链接。
为了更好地理解这个漏洞是如何被武器化的,设想这样一个场景:黑客走进机场或商场,连接到WiFi网络,然后在他们的笔记本电脑上启动一个脚本,用错误的SSDP包对网络进行垃圾邮件。
任何使用Firefox浏览器浏览网页的Android用户这种攻击会使他的移动浏览器被劫持并带到恶意站点,或者被迫安装恶意的Firefox扩展。
另一种情况是,攻击者的目标是易受攻击的WiFi路由器。攻击者可以利用这些漏洞占领过时的路由器,然后向公司内部网络发送垃圾邮件,并迫使员工在网络钓鱼页面上重新进行身份验证。
本周早些时候,Moberly已发布概念验证代码,可用于执行此类攻击。下面是Moberly和一位ESET安全研究人员演示攻击的两段视频。
Moberly说他在今年夏天早些时候向Mozilla报告了该漏洞。
该漏洞已在Firefox 79中修复;但是,许多用户可能没有运行最新版本。Firefox for desktop版本未受影响。
请发表评论,Mozilla发言人建议用户升级到Android版的Firefox最新版本,以确保安全。
