Chers utilisateurs d’Android, si vous utilisez le navigateur Web Firefox sur vos smartphones, assurez-vous qu’il a été mis à jour vers la version 80 ou la dernière version disponible sur le Google Play Store.
Hier, le chercheur en sécurité ESET Lukas Stefanko tweeté une alerte démontrant l’exploitation d’une vulnérabilité d’exécution de commande à distance à haut risque récemment révélée affectant l’application Firefox pour Android.
Découvert à l’origine par un chercheur en sécurité australien Chris Moberly, la vulnérabilité réside dans le moteur SSDP du navigateur qui peut être exploitée par un attaquant pour cibler les smartphones Android connectés au même réseau Wi-Fi que l’attaquant, avec l’application Firefox installée.
SSDP, signifie Simple Service Discovery Protocol, est un protocole basé sur UDP qui fait partie de l’UPnP pour rechercher d’autres périphériques sur un réseau. Sous Android, Firefox envoie régulièrement des messages de découverte SSDP à d’autres appareils connectés au même réseau, à la recherche d’appareils sur le second écran à diffuser.
Tout appareil sur le réseau local peut répondre à ces diffusions et fournir un emplacement pour obtenir des informations détaillées sur un appareil UPnP, après quoi, Firefox tente d’accéder à cet emplacement, espérant trouver un fichier XML conforme aux spécifications UPnP.
Selon le rapport de vulnérabilité soumis par Moberly à l’équipe Firefox, le moteur SSDP des navigateurs Firefox des victimes peut être amené à déclencher une intention Android en remplaçant simplement l’emplacement du fichier XML dans les paquets de réponse par un message spécialement conçu pointant vers un Android. URI d’intention.
Pour cela, un attaquant connecté à un réseau Wi-Fi ciblé peut exécuter un serveur SSDP malveillant sur son appareil et déclencher des commandes basées sur l’intention sur les appareils Android à proximité via Firefox, sans nécessiter d’interaction de la part des victimes.
Les activités autorisées par l’intention incluent également le lancement automatique du navigateur et l’ouverture de toute URL définie, ce qui, selon les chercheurs, est suffisant pour inciter les victimes à fournir leurs informations d’identification, installer des applications malveillantes et d’autres activités malveillantes en fonction des scénarios environnants.
« La cible doit simplement exécuter l’application Firefox sur son téléphone. Elle n’a pas besoin d’accéder à des sites Web malveillants ni de cliquer sur des liens malveillants. Aucune installation d’application malveillante ou malveillante n’est requise. Elle peut simplement siroter café tandis que sur le Wi-Fi d’un café, et leur appareil commencera à lancer des URI d’application sous le contrôle de l’attaquant », a déclaré Moberly.
« il aurait pu être utilisé d’une manière similaire aux attaques de phishing où un site malveillant est forcé sur la cible à leur insu dans l’espoir qu’ils entreraient des informations sensibles ou accepteraient d’installer une application malveillante. »
Moberly a signalé cette vulnérabilité à l’équipe de Firefox il y a quelques semaines, que le fabricant du navigateur a maintenant corrigée dans Firefox pour les versions 80 et supérieures d’Android.
Moberly a également publié un exploit de preuve de concept au public que Stefanko a utilisé pour démontrer le problème dans la vidéo ci-dessus contre trois appareils connectés au même réseau.