• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

Bug可以让攻击者通过Wi-Fi网络劫持Android的Firefox


CNHCAKTEAM

Recommended Posts

  • Administrator

Hijack Firefox for Android via Wi-Fi Network

亲爱的Android用户,如果您在智能手机上使用Firefox Web浏览器,请确保它已经更新到80版或GooglePlay Store上的最新版本。

ESET安全研究员Lukas Stefan ko昨天推特一次警报显示了最近发现的影响Android火狐应用程序的高风险远程命令执行漏洞的利用。

最初是由澳大利亚安全研究员发现的克里斯·莫布里该漏洞存在于浏览器的SSDP引擎中,攻击者可利用该引擎攻击安装Firefox应用程序的与攻击者连接到同一个Wi-Fi网络的Android智能手机。

SSDP表示简单服务发现协议(SimpleServiceDiscoveryProtocol),它是一个基于UDP的协议,它是UPnP的一部分,用于查找网络上的其他设备。在android中,Firefox定期向连接到同一网络的其他设备发送SSDP发现消息,以寻找要转换的第二个屏幕设备。

本地网络上的任何设备都可以对这些广播作出响应,并提供一个位置以获取有关UPnP设备的详细信息,之后Firefox将尝试访问该位置,希望找到符合UPnP规范的XML文件。

根据向Firefox团队提交的漏洞报告Mobile,受害者Firefox浏览器的SSDP引擎可能会被诱使触发Android意图,只需将响应数据包中XML文件的位置替换为指向Android意图URI的巧尽心思构建的消息即可。

为此,连接到目标Wi-Fi网络的攻击者可以在其设备上运行恶意SSDP服务器,并通过Firefox在附近的Android设备上触发基于意图的命令,而不需要受害者进行任何交互。

意图允许的活动还包括自动启动浏览器和打开任何定义的URL,根据研究人员的说法,这足以欺骗受害者提供证书、安装恶意应用程序以及其他基于周围场景的恶意活动。

莫布里说:“目标用户只需在手机上运行火狐应用程序。他们不需要访问任何恶意网站,也不需要点击任何恶意链接。不需要安装攻击者中间的或恶意的应用程序。他们只需在咖啡馆的Wi-Fi上喝咖啡,他们的设备就可以在攻击者的控制下启动应用程序URI。”

“它的使用方式可能类似于网络钓鱼攻击,即恶意网站在他们不知情的情况下被迫进入目标,希望他们能够输入一些敏感信息或同意安装恶意应用程序。”

几周前,Mobary向Firefox团队报告了这个漏洞,这家浏览器制造商现在已经为Android版本80及更高版本的Firefox修补了这个漏洞。

Mobely还发布了一个概念证明向公众表示,Stefan ko曾在上述视频中针对连接到同一网络的三台设备演示该问题。

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now