Android向けFirefoxアプリに見られる高リスクの脆弱性

SSDPエンジンに関連する欠陥により、ハッカーは同じWi-Fiネットワークに接続されたAndroid携帯のブラウザを悪用することができます。この欠陥は、AndroidプラットフォームのFirefoxアプリに実際に見られます。

報告によると、Android向けの新しいFirefoxアプリケーションに脆弱性が発見され、攻撃者と同じWi-Fiネットワークに接続されている場合、サイバー犯罪者が対象のAndroidデバイスを悪用できるようになっています。また、対象のデバイスにはFirefoxアプリもインストールされている必要があります。新たに発見されたバグの使用により、ハッカーは実際に標的のデバイスでブラウザーを開いて、被害者をだまして悪意のあるアプリケーションのインストールや資格情報の提供などをさせています。

このバグは基本的にブラウザのSSDPエンジンで発見されます。SSDPは、テキストが省略されたプロトコルであり、接続されたネットワーク上のデバイスを見つけるためのUpnPの一部であるSimple Service Discovery Protocolの略です。 FirefoxがAndroidデバイスで使用されている間、アプリはSSDP検出メッセージを同じネットワークに接続されている他のデバイスに送信するために使用します。そして、これはブラウザが画面をキャストするために他のデバイスを探し続ける方法です。

さらに、専門家は、ローカルネットワークに接続された電話がそのようなSSDPメッセージに応答でき、デバイスに関する詳細情報を取得するための場所を提供すると述べています。後で、ブラウザがUpnP仕様を確認する必要があるため、FirefoxアプリはXMLファイルを見つけるために場所にアクセスしようとします。

ただし、被害者のデバイス上のブラウザのSSDPエンジンは、応答パケット内のXMLファイルの場所を、AndroidインテントURLを示す特別に細工されたメッセージに置き換えることにより、簡単にだまされてAndroidインテントをトリガーできます。そして、これは実際にハッカーが彼の電話またはデバイスで悪意のあるSSDPサーバーを実行し、Firefoxの脆弱性を使用して近くのデバイスでコマンドをトリガーする方法です。

悪意のあるアプリをインストールしていなくても、被害者は簡単に標的にされます

SSDPエンジン関連のバグは、Chris Moberlyという名前のセキュリティリサーチャーによって最初に発見されました。Firefoxで発見された脆弱性は、すべてのAndroidユーザーにとって非常に危険です。

クリスによれば、「ターゲットは、Firefoxアプリケーションを電話で実行する必要があります。悪意のあるWebサイトにアクセスしたり、悪意のあるリンクをクリックしたりする必要はありません。中間者攻撃や悪意のあるアプリのインストールは必要ありません。彼らはカフェのWiFiでコーヒーを飲みながら、攻撃者の制御下でアプリケーションのURIを起動します。」

さらに、クリスはまた、攻撃者が標的のデバイスに悪意のあるサイトのリダイレクトを配信し、ユーザーをだましてそれらを操作させるために、他のフィッシング攻撃が発生するのと同じようにバグが使用される可能性があるとも述べています。クリス自身でさえ、この脆弱性を利用して3台のスマートフォンでカスタムURLを開くことができました。

Mozillaによる問題を修正するための推奨される対策

研究者がFirefoxのバグを発見すると、同じことをMozilla開発者に報告しました。実際には数週間前です。そして今、MozillaはAndroidユーザーに新しいパッチを提供することでこの問題を修正しました。また、ユーザーがブラウザを保護する必要がある場合は、できるだけ早くバージョンを最新のもの(80以降のバージョン)に更新することをお勧めします。