ESET安全研究人员Lukas Stefanko昨天在推特上发布了一条警报,报告显示最近披露的一个影响Android版Firefox的高危远程命令执行漏洞已被利用。
该漏洞最初由澳大利亚安全研究人员Chris Moberly发现,该漏洞存在于浏览器的SSDP引擎中,攻击者可以利用该漏洞将安装了Firefox的Android手机锁定为与攻击者连接到同一Wi-Fi网络的Android手机上。
SSDP是简单服务发现协议(Simple Service Discovery Protocol)的缩写,它是UPnP的一部分,用于查找网络上的其他设备。在Android中,Firefox会定期向连接到同一网络的其他设备发送SSDP发现消息,寻找第二个屏幕设备。
本地网络上的任何设备都可以响应这些广播并提供一个位置来获取UPnP设备的详细信息,然后Firefox尝试访问该位置,期望找到符合UPnP规范的XML文件。
视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html
Moberly提交给Firefox团队的漏洞报告显示,受害者的Firefox浏览器的SSDP引擎可以通过简单地用一条指向Android意图URI的特制消息替换响应包中XML文件的位置,从而诱使其触发Android恶意命令。
为此,连接到目标Wi-Fi网络的攻击者可以在其设备上运行恶意SSDP服务器,并通过Firefox在附近的Android设备上触发恶意命令,这些过程无需与受害者进行任何交互。
哪些恶意命令包括自动启动浏览器和打开任何已定义的URL,据研究人员称,这足以诱使受害者提供其凭据、安装恶意应用程序以及基于周围场景的其他恶意活动。
Moberly表示,“目标只需在手机上运行Firefox应用程序。他们不需要访问任何恶意网站或点击任何恶意链接。不需要中间攻击者或安装恶意应用程序。他们只需在咖啡厅中使用Wi-Fi喝咖啡,攻击者就会控制他们的设备启动应用程序URI。”
视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html
“它类似于网络钓鱼攻击,在这种攻击中,恶意网站会在他们不知情的情况下强行攻击目标,使受害者输入一些敏感信息或同意安装恶意应用程序。”
Moberly在几周前向Firefox团队报告了这个漏洞,Firefox浏览器制造商目前已经在Firefox Android 80及更高版本中修补了这个漏洞。
Moberly还向公众发布了一个概念验证漏洞,Stefanko曾在上述视频中针对连接到同一网络的三个设备演示了该漏洞。
稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理,
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册