Estimados usuarios de Android, si utilizan el navegador web Firefox en sus teléfonos inteligentes, asegúrese de que se haya actualizado a la versión 80 o a la última versión disponible en Google Play Store.
Lukas Stefanko, investigador de seguridad de ESET, ayer tuiteó una alerta que demuestra la explotación de una vulnerabilidad de ejecución remota de comandos de alto riesgo recientemente revelada que afecta a la aplicación Firefox para Android.
Descubierta originalmente por el investigador de seguridad australiano Chris Moberly, la vulnerabilidad reside en el motor SSDP del navegador que puede ser explotado por un atacante para apuntar a teléfonos inteligentes Android conectados a la misma red Wi-Fi que el atacante, con la aplicación Firefox instalada.
SSDP, siglas de Simple Service Discovery Protocol, es un protocolo basado en UDP que forma parte de UPnP para encontrar otros dispositivos en una red. En Android, Firefox envía periódicamente mensajes de descubrimiento SSDP a otros dispositivos conectados a la misma red, en busca de dispositivos de segunda pantalla para transmitir.
Cualquier dispositivo en la red local puede responder a estas transmisiones y proporcionar una ubicación para obtener información detallada sobre un dispositivo UPnP, después de lo cual, Firefox intenta acceder a esa ubicación, esperando encontrar un archivo XML que cumpla con las especificaciones UPnP.
Según el informe de vulnerabilidad que Moberly presentó al equipo de Firefox, se puede engañar al motor SSDP de los navegadores Firefox de las víctimas para que active un intento de Android simplemente reemplazando la ubicación del archivo XML en los paquetes de respuesta con un mensaje especialmente diseñado que apunta a un dispositivo Android. URI de intención.
Para esto, un atacante conectado a una red Wi-Fi específica puede ejecutar un servidor SSDP malicioso en su dispositivo y activar comandos basados en la intención en dispositivos Android cercanos a través de Firefox, sin necesidad de interacción por parte de las víctimas.
Las actividades permitidas por la intención también incluyen iniciar automáticamente el navegador y abrir cualquier URL definida, lo que, según los investigadores, es suficiente para engañar a las víctimas para que proporcionen sus credenciales, instalen aplicaciones maliciosas y otras actividades maliciosas basadas en los escenarios circundantes.
«El objetivo simplemente tiene que tener la aplicación Firefox ejecutándose en su teléfono. No necesitan acceder a ningún sitio web malicioso ni hacer clic en ningún enlace malicioso. No se requiere la instalación de una aplicación maliciosa o un atacante en el medio. Simplemente pueden estar bebiendo café mientras está en el Wi-Fi de un café, y su dispositivo comenzará a iniciar URI de aplicaciones bajo el control del atacante «, dijo Moberly.
«Podría haberse utilizado de una manera similar a los ataques de phishing en los que un sitio malicioso se ve forzado en el objetivo sin su conocimiento con la esperanza de que ingresen información confidencial o acepten instalar una aplicación maliciosa».
Moberly informó esta vulnerabilidad al equipo de Firefox hace unas semanas, que el fabricante del navegador ahora ha parcheado en las versiones 80 y posteriores de Firefox para Android.
Moberly también lanzó al público un exploit de prueba de concepto que Stefanko usó para demostrar el problema en el video anterior contra tres dispositivos conectados a la misma red.
