Mozilla a corrigé une faille de sécurité qui aurait pu permettre aux cybercriminels de détourner tous les navigateurs Firefox pour Android vulnérables fonctionnant sur des appareils connectés au même réseau Wi-Fi. La vulnérabilité pourrait être exploitée par des chapeaux noirs pour forcer les utilisateurs à visiter des sites web contenant des contenus malveillants, qui pourraient ensuite être utilisés pour exécuter des attaques d’hameçonnage ou pour télécharger des logiciels malveillants sur leurs appareils.
Le bogue, qui résidait dans le Simple Service Discovery Protocol (SSDP) de Firefox, a été découvert par le chercheur en sécurité Chris Moberly et a affecté Firefox pour les versions Android de 68.11.0 et inférieures.
Lukas Stefanko, chercheur en logiciels malveillants d'ESET, a testé un exploit de preuve de concept (PoC) qui tire profit de la faille de sécurité, en exécutant le PoC sur trois appareils connectés au même routeur Wi-Fi.
« C'est un sérieux problème qui permet de déclencher n'importe quel Android Intent sur le même réseau Wi-Fi sans aucune interaction de l'utilisateur si vous avez une version vulnérable de Firefox pour Android installée sur votre appareil », explique Stefanko.
Il a poursuivi en avertissant que l'exploitation réussie du bogue pourrait conduire à une attaque d’hameçonnage sur les réseaux Wi-Fi publics, en demandant des informations personnelles ou des identifiants de connexion à tous les utilisateurs connectés au réseau qui exécutaient des versions non corrigées du navigateur. Le chercheur ajoute : « Ceci rend l'exploitation de cette faille vraiment facile. »
Dans un compte rendu du problème sur sa page GitLab, Moberly a expliqué que les versions vulnérables du navigateur Firefox envoient régulièrement des messages de découverte SSDP, à la recherche d'appareils de second écran connectés au même réseau local sur lesquels ils peuvent lancer (imaginez un Chromecast, Roku, ou un gadget similaire).
Les appareils connectés à ce réseau local peuvent répondre à ces messages diffusés, en fournissant l'emplacement d'un fichier XML (eXtensible Markup Language) contenant leurs détails de configuration, auquel Firefox tentera ensuite d'accéder.
Mais c'est à ce moment que les cybercriminels peuvent agir. « Au lieu de fournir l'emplacement d'un fichier XML décrivant un appareil UPnP, un attaquant peut faire tourner un serveur SSDP malveillant qui répond avec un message spécialement conçu pointant vers une intention URI Android. Ensuite, cette intention sera invoquée par l'application Firefox elle-même », a déclaré Moberly, en expliquant comment la vulnérabilité pourrait être exploitée. Le chercheur en sécurité a ajouté qu'il avait signalé la vulnérabilité à Mozilla.
Le bogue a été corrigé avec la sortie de Firefox pour Android 79, le successeur direct de la version 68.11.0. Si vous êtes un utilisateur de Firefox pour Android, nous vous suggérons de vérifier si vous utilisez la version 79 du navigateur, ou mieux encore, sa dernière version (80). Si ce n'est pas le cas, vous devriez mettre votre navigateur à jour immédiatement.