ESET安全研究人員Lukas Stefanko昨天在推特上發(fā)布了一條警報，報告顯示最近披露的一個影響Android版Firefox的高危遠程命令執(zhí)行漏洞已被利用。

該漏洞最初由澳大利亞安全研究人員Chris Moberly發(fā)現(xiàn)，該漏洞存在于瀏覽器的SSDP引擎中，攻擊者可以利用該漏洞將安裝了Firefox的Android手機鎖定為與攻擊者連接到同一Wi-Fi網(wǎng)絡的Android手機上。

SSDP是簡單服務發(fā)現(xiàn)協(xié)議（Simple Service Discovery Protocol）的縮寫，它是UPnP的一部分，用于查找網(wǎng)絡上的其他設備。在Android中，F(xiàn)irefox會定期向連接到同一網(wǎng)絡的其他設備發(fā)送SSDP發(fā)現(xiàn)消息，尋找第二個屏幕設備。

本地網(wǎng)絡上的任何設備都可以響應這些廣播并提供一個位置來獲取UPnP設備的詳細信息，然后Firefox嘗試訪問該位置，期望找到符合UPnP規(guī)范的XML文件。

視頻鏈接：https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html

Moberly提交給Firefox團隊的漏洞報告顯示，受害者的Firefox瀏覽器的SSDP引擎可以通過簡單地用一條指向Android意圖URI的特制消息替換響應包中XML文件的位置，從而誘使其觸發(fā)Android惡意命令。

為此，連接到目標Wi-Fi網(wǎng)絡的攻擊者可以在其設備上運行惡意SSDP服務器，并通過Firefox在附近的Android設備上觸發(fā)惡意命令，這些過程無需與受害者進行任何交互。

哪些惡意命令包括自動啟動瀏覽器和打開任何已定義的URL，據(jù)研究人員稱，這足以誘使受害者提供其憑據(jù)、安裝惡意應用程序以及基于周圍場景的其他惡意活動。

Moberly表示，“目標只需在手機上運行Firefox應用程序。他們不需要訪問任何惡意網(wǎng)站或點擊任何惡意鏈接。不需要中間攻擊者或安裝惡意應用程序。他們只需在咖啡廳中使用Wi-Fi喝咖啡，攻擊者就會控制他們的設備啟動應用程序URI。”

視頻鏈接：https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html

“它類似于網(wǎng)絡釣魚攻擊，在這種攻擊中，惡意網(wǎng)站會在他們不知情的情況下強行攻擊目標，使受害者輸入一些敏感信息或同意安裝惡意應用程序?！?/p>

Moberly在幾周前向Firefox團隊報告了這個漏洞，F(xiàn)irefox瀏覽器制造商目前已經(jīng)在Firefox Android 80及更高版本中修補了這個漏洞。

Moberly還向公眾發(fā)布了一個概念驗證漏洞，Stefanko曾在上述視頻中針對連接到同一網(wǎng)絡的三個設備演示了該漏洞。

?

來源：The Hacker News，譯者：芋泥啵啵奶茶。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/