Người dùng Android cần phải chắc chắn cập nhật trình duyệt Firefox trên hệ điều hành này lên bản 80 từ kho Google Play Store.
Cụ thể, ngày hôm qua nhà nghiên cứu bảo mật của ESET là Lukas Stefanko đã đăng một status trên Twitter, cảnh bảo cho thấy việc khai thác lỗ hổng thực thi lệnh từ xa rủi ro cao được tiết lộ gần đây ảnh hưởng đến ứng dụng Firefox dành cho Android.
Được phát hiện bởi nhà nghiên cứu bảo mật người Úc – Chris Moberly, lỗ hổng nằm trong công cụ SSDP của trình duyệt, có thể bị kẻ tấn công khai thác để nhắm mục tiêu vào điện thoại thông minh Android được kết nối với cùng mạng Wi-Fi với kẻ tấn công, trong đó nạn nhân có cài đặt ứng dụng Firefox.
SSDP (viết tắt của Simple Service Discovery Protocol) một giao thức dựa trên UDP, là một phần của UPnP để tìm kiếm các thiết bị khác trên mạng. Trong Android, Firefox định kỳ gửi thông báo SSDP đến các thiết bị khác được kết nối với cùng một mạng, tìm kiếm các thiết bị màn hình thứ hai để truyền nội dung (ví dụ xuất ra màn hình TV).
Bất kỳ thiết bị nào trong mạng cục bộ đều có thể phản hồi các gói này và cung cấp vị trí để lấy thông tin chi tiết về thiết bị UPnP. Sau đó Firefox cố gắng truy cập vị trí đó, hy vọng tìm thấy tệp XML phù hợp với thông số kỹ thuật UPnP.
Theo báo cáo về lỗ hổng bảo mật mà Moberly gửi cho nhóm Firefox, công cụ SSDP trên trình duyệt của nạn nhân có thể bị đánh lừa để bằng cách chỉ cần thay thế vị trí của tệp XML trong các gói phản hồi bằng một thông báo được tạo đặc biệt trỏ đến Android URI.
Vì vậy, kẻ tấn công kết nối với mạng Wi-Fi được nhắm mục tiêu có thể chạy một máy chủ SSDP độc hại trên thiết bị của họ và kích hoạt các lệnh dựa trên mục đích trên các thiết bị Android lân cận thông qua Firefox, điều nguy hiểm là không yêu cầu bất kỳ sự tương tác nào từ nạn nhân.
Các hoạt động được cho phép cũng bao gồm tự động khởi chạy trình duyệt và mở bất kỳ URL nào được xác định. Theo các nhà nghiên cứu điều này đủ để lừa nạn nhân cung cấp thông tin đăng nhập của họ, cài đặt ứng dụng và các hoạt động độc hại khác dựa trên các tình huống xung quanh.
Moberly nói “Mục tiêu chỉ cần ứng dụng Firefox đang chạy trên điện thoại của họ. Họ không cần truy cập bất kỳ trang web độc hại, hoặc nhấp vào bất kỳ liên kết độc hại nào. Không cần kẻ tấn công ở giữa hoặc cài đặt ứng dụng độc hại. Họ có thể chỉ cần nhấm nháp cà phê khi đang sử dụng Wi-Fi của một quán cà phê và thiết bị của họ sẽ bắt đầu khởi chạy các URI ứng dụng dưới sự kiểm soát của kẻ tấn công” .
“Nó có thể đã được sử dụng theo cách tương tự như các cuộc tấn công lừa đảo. Trong đó một trang web độc hại được nhắm vào mục tiêu mà họ không hề biết. Nạn nhân sẽ bị dẫn dụ nhập một số thông tin nhạy cảm hoặc đồng ý cài đặt một ứng dụng độc hại.”
Moberly đã báo cáo lỗ hổng này cho nhóm Firefox vài tuần trước, nhà sản xuất trình duyệt này hiện đã vá trên Firefox cho Android phiên bản 80 trở lên. Moberly cũng đã phát hành một bằng chứng khai thác cho cộng đồng. Stefanko đã sử dụng nghiên cứu này để chứng minh vấn đề trong video trên đối với ba thiết bị được kết nối với cùng một mạng.