尊敬的Android用户,如果您在智能手机上使用Firefox Web浏览器,请确保已将其更新到版本80或Google Play商店中的最新可用版本。
ESET安全研究员Lukas Stefanko昨天在一条推文中发布了一条警报,表明利用了一个最近披露的影响Android Firefox应用程序的高风险远程命令执行漏洞。
该漏洞最初由澳大利亚安全研究人员Chris Moberly发现,位于浏览器的SSDP引擎中,攻击者可以利用该漏洞将安装了Firefox应用程序的Android智能手机锁定为与攻击者连接到同一Wi-Fi网络的Android智能手机。
SSDP代表简单服务发现协议,它是基于UDP的协议,是UPnP的一部分,用于查找网络上的其他设备。在Android中,Firefox会定期向连接到同一网络的其他设备发送SSDP发现消息,以寻找要投放的第二屏设备。
本地网络上的任何设备都可以响应这些广播,并提供一个位置来获取有关UPnP设备的详细信息,此后,Firefox尝试访问该位置,期望找到符合UPnP规范的XML文件。
根据Moberly向Firefox小组提交的漏洞报告,受害人的Firefox浏览器的SSDP引擎可以通过简单地用指向Android的特制消息替换响应数据包中的XML文件的位置来诱骗其触发Android意图。意图URI。
为此,连接到目标Wi-Fi网络的攻击者可以在其设备上运行恶意的SSDP服务器,并通过Firefox在附近的Android设备上触发基于意图的命令,而无需受害者进行任何交互。
研究人员认为,意图允许的活动还包括自动启动浏览器并打开任何已定义的URL,这足以诱骗受害者提供其凭据,安装恶意应用程序以及根据周围场景进行的其他恶意活动。
“目标只需要在手机上运行Firefox应用程序即可。他们无需访问任何恶意网站或单击任何恶意链接。不需要安装中间攻击者或恶意应用程序。他们只是在饮在咖啡馆的Wi-Fi上喝咖啡时,他们的设备将在攻击者的控制下开始启动应用程序URI。”
“它可能以类似于网络钓鱼攻击的方式使用,在这种攻击中,恶意站点会在不知情的情况下被迫进入目标,以希望他们输入一些敏感信息或同意安装恶意应用程序。”
Moberly在几周前向Firefox团队报告了此漏洞,该浏览器制造商现已在Firefox(适用于Android 80及更高版本)中对其进行了修补。
Moberly还向公众发布了概念验证漏洞,Stefanko曾在上述视频中针对连接到同一网络的三台设备演示此问题。
为了安全请将工具放在虚拟机运行!
作者不易!请点一下关注在走吧!
此文章仅供学习参考,不得用于违法犯罪!
转载此文章,请标明出处。
关注此公众号,各种福利领不停,每天一个hacker小技巧
轻轻松松学习hacker技术!