A Mozilla corrigiu um bug que pode ser usado para sequestrar todos os navegadores Firefox para Android na mesma rede Wi-Fi e forçar os usuários a acessar sites maliciosos, como páginas de phishing.
O bug foi descoberto por Chris Moberly, pesquisador de segurança australiano que trabalha para o GitLab. A vulnerabilidade reside no componente SSDP do Firefox. SSDP significa Simple Service Discovery Protocol e é o mecanismo pelo qual o navegador encontra outros dispositivos na mesma rede para compartilhar ou receber conteúdo, ou seja, como compartilhar streamings de vídeo com um dispositivo Roku.
Quando os dispositivos são encontrados, o componente SSDP do Firefox obtém a localização de um arquivo XML no qual a configuração do dispositivo está armazenada. No entanto, Moberly descobriu que em versões anteriores do Firefox, podem ser ocultados comandos de “intenção” do Android neste XML e fazer o navegador executar a “intenção”, que poderia ser um comando regular, como dizer ao Firefox para acessar um link.
Veja isso
Hackers rastreiam Chrome e Firefox
Mozilla revê programa de recompensa para bugs no Firefox
Para entender melhor como esse bug pode se transformar em arma, imagine um cenário em que um hacker entra em um aeroporto ou shopping, se conecta à rede Wi-Fi e, em seguida, inicia um script em seu laptop que envia spams à rede com pacotes SSDP malformados. Qualquer usuário de Android utilizando o Firefox para navegar na web durante esse tipo de ataque teria seu navegador móvel sequestrado e levado a um site malicioso, ou forçado a instalar uma extensão maliciosa do Firefox.
Outro cenário é se um invasor tiver como alvo roteadores Wi-Fi vulneráveis. Os invasores podem aproveitar explorações para assumir roteadores desatualizados e, em seguida, enviar spam para a rede interna de uma empresa e forçar os funcionários a se autenticar novamente em páginas de phishing.
No início desta semana, o Moberly publicou um código de prova de conceito que pode ser usado para realizar tais ataques. O analista disse que relatou o bug à Mozilla.
A vulnerabilidade foi corrigida no Firefox 79; entretanto, muitos usuários podem não estar executando a versão mais recentes. O Firefox para versões desktop não foi afetado.