Un bug de Firefox permettait d’ouvrir des sites à l’insu des victimes

Une vulnérabilité dans Firefox pour Android permet à un pirate informatique de lancer des sites Web sur le smartphone d’une victime, sans interaction de l’utilisateur. L’attaque se manifeste sous la forme d’une fenêtre de navigateur Firefox sur le périphérique cible qui se lance soudainement, sans l’autorisation des utilisateurs.

Pour exploiter la faille de sécurité, un attaquant devrait être sur le même réseau Wi-Fi que la cible, selon le chercheur Chris Moberly, qui a récemment publié des détails sur la faille de sécurité, ainsi qu’un exploit de preuve de concept (PoC).

«La cible doit simplement faire fonctionner l’application Firefox sur son téléphone», a-t-il expliqué. «Pas besoin d’accéder à des sites Web malveillants ni de cliquer sur des liens malveillants. Aucune installation d’application malveillante n’est requise. Ils peuvent simplement siroter un café dans un barre équipé du Wi-Fi et leur appareil commencera à lancer les URI d’application sous le contrôle de l’attaquant. »

firefox 73

La faille se trouve dans Firefox et concerne le moteur SSDP (Simple Service Discovery Protocol) d’Android (version 68.11.0 et versions antérieures). Le SSDP est un protocole réseau utilisé pour la publicité et la découverte des services réseau et des informations de présence.

Dans ce cas, le moteur SSDP peut être amené à déclencher ce que l’on appelle des URI (Uniform Resource Identifiers) d’intention Android. Une «intention» est une description abstraite d’une opération à effectuer. Une ‘intention’ permet aux développeurs de spécifier des actions qui peuvent démarrer une activité dans une autre application (comme «afficher une carte» ou «prendre une photo»).

«La version vulnérable de Firefox envoie périodiquement des messages de découverte SSDP, à la recherche de périphériques de deuxième écran vers lesquels diffuser (comme le Roku)», a expliqué Moberly. «Ces messages sont envoyés via la multidiffusion UDP vers 239.255.255.250, ce qui signifie que tout appareil sur le même réseau peut les voir. Tout appareil du réseau local peut répondre à ces diffusions. »

Un attaquant malveillant peut répondre à l’un des messages «prêts à être castés» et fournir à l’appareil exécutant Firefox un emplacement vers lequel effectuer le cast, a-t-il déclaré. Firefox tentera alors d’accéder à cet emplacement, en espérant trouver un fichier XML conforme aux spécifications plug-and-play universelles (UPnP).

«C’est là que la vulnérabilité entre en jeu», a écrit Moberly. «Au lieu de fournir l’emplacement d’un fichier XML décrivant un périphérique UPnP, un attaquant peut exécuter un serveur SSDP malveillant qui répond par un message spécialement conçu pointant vers un URI d’intention Android. Ensuite, cette intention sera invoquée par l’application Firefox elle-même. »

Ainsi, une réponse spécialement conçue peut forcer un téléphone Android sur le réseau local avec Firefox en cours d’exécution à lancer soudainement un site Web spécifique. Il peut également être utilisé pour le faire sur tous les téléphones Android d’un réseau.

firefox 73

D’autres attaques malveillantes peuvent inclure le lancement d’une page d’hameçonnage ou le lancement d’un lien direct vers un fichier .XPI, ce qui incite à l’installation immédiate d’une extension malveillante pour compromettre le navigateur lui-même. La faille pourrait également être utilisée pour inviter quelqu’un à installer un package malveillant.

Moberly a également constaté que d’autres intentions au-delà du lancement d’un navigateur Web peuvent également être invoquées.

«Un autre exemple est d’appeler d’autres applications», dit-il: dans sa preuve de concept, il a pu démarrer une application de messagerie avec du texte arbitraire. “C’est assez effrayant de voir cela se produire sur votre appareil lorsque vous ne vous occupez que de votre affaires … Cependant, cette exécution n’est pas totalement arbitraire car elle ne peut appeler que des intentions d’application prédéfinies”, a-t-il déclaré.

Cette faille de Firefox a été confirmé par d’autres chercheurs

Le bug a été confirmé par un autre chercheur Lucas Stefanko:

Firefox a rapidement corrigé la vulnérabilité, les utilisateurs doivent donc mettre à jour leur application vers la version 79 ou supérieure (cela a peut-être déjà été fait automatiquement). Les utilisateurs peuvent vérifier qu’ils sont à jour en accédant à “Paramètres -> À propos de Firefox” et en recherchant le numéro de version de leur application.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x