Phát hiện lỗ hổng bảo mật nghiêm trọng trên trình duyệt Firefox cho Android

Người dùng Android đang sử dụng trình duyệt Firefox trên điện thoại thông minh được khuyến nghị nên nhanh chóng cập nhật lên phiên bản 80 hoặc phiên bản mới nhất hiện có của ứng dụng này trên Google Play Store để tránh bị ảnh hưởng bởi lỗ hổng bảo mật mới nhất này.

Chuyên gia bảo mật Lukas Stefanko của công ty an ninh mạng ESET mới đây đã đăng một bài tweet để cảnh báo và mô tả lại quá trình khai thác một lỗ hổng thực thi lệnh từ xa nguy hiểm ảnh hưởng đến ứng dụng Firefox dành cho Android.

Lỗ hổng bảo mật nghiêm trọng trên Firefox

Lỗ hổng này được phát hiện ban đầu bởi nhà nghiên cứu bảo mật người Úc Chris Moberly và nằm trong bộ phận SSDP của trình duyệt web. Nó có thể bị kẻ tấn công khai thác để nhắm mục tiêu vào các điện thoại Android đã cài đặt ứng dụng Firefox và được kết nối với cùng một mạng Wi-Fi với kẻ tấn công.

SSDP, viết tắt của Simple Service Discovery Protocol, là một giao thức dựa trên UDP và là một phần của UPnP có chức năng tìm kiếm các thiết bị khác trên hệ thống mạng. Trong Android, Firefox sẽ định kỳ gửi thông báo SSDP đến các thiết bị khác được kết nối với cùng một mạng, và tìm kiếm các thiết bị màn hình thứ hai để truyền (second-screen device).

Bất kỳ thiết bị nào trong mạng cục bộ đều có thể phản hồi các quy trình truyền phát này và cung cấp một vị trí để lấy các thông tin chi tiết về thiết bị UPnP, sau đó, Firefox sẽ cố gắng truy cập vào vị trí trên, bắt đầu tìm kiếm một file XML phù hợp với các thông số kỹ thuật của UPnP.

Theo báo cáo mà Moberly gửi cho Firefox, công cụ SSDP trên trình duyệt Firefox của nạn nhân có thể bị đánh lừa để kích hoạt một Android intent, đơn giản bằng cách thay thế vị trí của file XML trong các gói phản hồi (response packet) với một thông báo được tạo đặc biệt dẫn đến URI của Android intent đó.

Từ đó, kẻ tấn công kết nối với một mạng Wi-Fi mục tiêu có thể chạy một SSDP server độc hại trên thiết bị của chúng và kích hoạt các lệnh dựa trên intent trên các thiết bị Android lân cận thông qua Firefox, mà không yêu cầu bất kỳ tương tác nào từ nạn nhân.

Các hoạt động được cho phép bởi intent còn bao gồm tự động khởi chạy trình duyệt và mở bất kỳ URL nào được xác định. Theo các nhà nghiên cứu, điều này có thể bị lợi dụng để lừa nạn nhân cung cấp thông tin đăng nhập, hoặc cài đặt ứng dụng độc hại hay thực hiện các hoạt động độc hại khác.

“Chỉ cần cài đặt ứng dụng Firefox trên điện thoại là nạn nhân đã dễ dàng trở thành mục tiêu của kẻ tấn công. Họ không cần truy cập bất kỳ trang web độc hại hoặc click vào bất kỳ liên kết độc hại nào. Họ cũng không bị tấn công man-in-the-middle hay cần cài đặt bất cứ ứng dụng độc hại nào. Họ có thể đơn giản chỉ đang nhấm nháp cà phê khi sử dụng Wi-Fi của quán và thiết bị của họ sẽ ngay lập tức khởi chạy các URI ứng dụng dưới sự kiểm soát của kẻ tấn công,” Moberly nói.

“Cuộc tấn công này có thể được sử dụng nhằm mục đích tương tự các cuộc tấn công lừa đảo phishing, khi mà kẻ tấn công dụ nạn nhân truy cập vào một site độc hại, với hy vọng họ sẽ vô tình nhập một vài thông tin nhạy cảm hoặc đồng ý cài đặt một ứng dụng độc hại nào đó.” 

Moberly đã báo cáo lỗ hổng này cho nhóm phát triển của Firefox vài tuần trước. Nhà sản xuất trình duyệt này sau đó đã nhanh chóng vá lỗ hổng trên Firefox cho Android từ phiên bản 80 trở lên.

Moberly cũng đã phát hành công khai một mã khai thác mẫu (PoC) và nó đã được Stefanko sử dụng để mô tả lại quy trình tấn công trong video trên với sự tham gia của ba thiết bị được kết nối với cùng một mạng.

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.