Mozilla исправила ошибку, которую можно было использовать для того, чтобы контролировать все браузеры Firefox на Android в одной Wi-Fi-сети. Хакеры могут использовать профили и данные пользователей, а также переходить по вредоносным сайтам, таким как фишинговые страницы.
Ошибку обнаружил Крис Моберли (Chris Moberly), австралийский исследователь безопасности, работающий в GitLab. Они призвал Mozilla исправить ее как можно скорее.
Он указал, что уязвимость находится в компоненте Firefox SSDP. SSDP — это Simple Service Discovery Protocol и представляет собой механизм, с помощью которого Firefox находит другие устройства в той же сети для обмена или получения контента (например, обмена видеопотоками)
Found a neat little Firefox for Android bug. Current version is not vulnerable, please make sure you are up to date. 🙂 https://t.co/p31XPGBsze pic.twitter.com/coG3tcMiAI
— initstring (@init_string) September 15, 2020
Исследователь пояснил, что этот баг особенно опасен при сценарии, когда хакер заходит в аэропорт или торговый центр, подключается к Wi-Fi сети, а затем может захватить все устройства, которые к ней подключены.
Другой сценарий — если злоумышленник нацелен на уязвимые Wi-Fi-маршрутизаторы. Злоумышленники могут использовать уязвимость для захвата устаревших маршрутизаторов, а затем рассылать спам во внутреннюю сеть компании и заставлять сотрудников проходить повторную аутентификацию на фишинговых страницах.
Сообщается, что ошибка была исправлена в Firefox 79.
Читать также
Ледник «Судного дня» оказался опаснее, чем думали ученые. Рассказываем главное
Появилось сразу два доказательства внеземной жизни. Одно на Венере, другое — неизвестно где
Гибридные автомобили опаснее для экологии, чем дизельные. Рассказываем главное