科技魔方

Android旧版Firefox浏览器漏洞会导致设备被同一Wi-Fi网路的黑客劫持

魔方快报

2020年09月21日

  DoNews 9月21日消息(记者 刘文轩)澳洲研究人员Chris Moberly发现Android版Firefox一项漏洞,可让攻击者劫持同一Wi-Fi网路下的Firefox浏览器用户,使对方连接到恶意网站。

  Mozilla已经在Android版Firefox 79以后的版本中解决了这一漏洞。

22.jpg

  这项漏洞存在于Android版Firefox上的简单服务发现协议(Simple Service Discovery Protocol,SSDP)。 SSDP为构成通用随插即用(UPnP)技术的UDP协议。一台设备发送SSDP广播寻找到同一区域网路上的其他装置,以分享内容。

  Android版Firefox通过发送SSDP信息,寻找其他设备,比如Roku,以实现第二屏的使用场景,例如播放媒体或网页内容。

  研究人员称,Firefox浏览器发送广播信息时,同一局域网的设备会加以回应,并回传一个UPnP设备所在位置的信息。 Firefox就会试图存取位置,并下载符合UPnP规格的XML档案。

  研究人员发现,攻击者可以设立一台恶意SSDP伺服器,然后以包含指向Android intent URI的恶意信息取代位置信息,驱动Firefox浏览器执行这个意图(intent)。 例如迫使Android手机上的Firefox连接到恶意网址,而这些操作全都无需受害者的任何动作。

  由于这项漏洞仅出现在Firefox 79以前的Android版本,因此研究人员也呼吁用户尽快升级到79以后的版本。其他平台版本则不受影响。

+1

来源:DoNews 作者:刘文轩

推荐文章