Jump to content
  • Bug pode ser usado para sequestro de navegadores Firefox para Android


    Bruna Chieco

    Um bug descoberto por um pesquisador de segurança australiano do GitLab pode ser usado para sequestrar todos os navegadores Firefox para Android conectados na mesma rede Wi-Fi e forçar os usuários a acessarem sites maliciosos, como páginas de phishing. Segundo o ZDNet, a Mozilla já corrigiu a falha no Firefox 79, mas para se proteger, os usuários devem fazer a última atualização para a versão mais recente do Firefox para Android.

    A vulnerabilidade reside no componente Simple Service Discovery Protocol – SSDP do Firefox, mecanismo pelo qual o Firefox encontra outros dispositivos na mesma rede para compartilhar ou receber conteúdo. Quando os dispositivos são encontrados, o componente SSDP do Firefox obtém a localização de um arquivo XML onde a configuração do dispositivo está armazenada.

    Em versões antigas do Firefox, era possível ocultar comandos de "intenção" do Android neste XML e fazer o navegador Firefox executar a "intenção", que poderia ser um comando regular, como dizer ao Firefox para acessar um link. Assim, um atacante poderia se conectar a uma rede Wi-Fi aberta e, em seguida, iniciar um script em seu laptop para enviar spams à rede com pacotes SSDP malformados. Qualquer proprietário de Android usando um navegador Firefox para navegar na web na mesma rede Wi-Fi durante esse tipo de ataque teria seu navegador sequestrado e direcionado a um site malicioso, ou forçado a instalar uma extensão maliciosa do Firefox.

    Os invasores podem ainda aproveitar explorações para assumir roteadores desatualizados e, em seguida, enviar spam para a rede interna de uma empresa e forçar os funcionários a se autenticar novamente em páginas de phishing. O ZDNet informa que o Firefox para versões desktop não foi afetado.

    Edited by Bruna Chieco


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...