Hi科技>Hi科技,硬件资讯>正文
Android旧版Firefox浏览器漏洞会导致设备被同一Wi-Fi网路的黑客劫持
Android旧版Firefox浏览器漏洞会导致设备被同一Wi-Fi网路的黑客劫持
来源:原创作者:刘文轩2020-09-22 01:12
尽快升级版本吧。

澳洲研究人员Chris Moberly发现Android版Firefox一项漏洞,可让攻击者劫持同一Wi-Fi网路下的Firefox浏览器用户,使对方连接到恶意网站。

Mozilla已经在Android版Firefox 79以后的版本中解决了这一漏洞。

这项漏洞存在于Android版Firefox上的简单服务发现协议(Simple Service Discovery Protocol,SSDP)。 SSDP为构成通用随插即用(UPnP)技术的UDP协议。一台设备发送SSDP广播寻找到同一区域网路上的其他装置,以分享内容。

Android版Firefox通过发送SSDP信息,寻找其他设备,比如Roku,以实现第二屏的使用场景,例如播放媒体或网页内容。

研究人员称,Firefox浏览器发送广播信息时,同一局域网的设备会加以回应,并回传一个UPnP设备所在位置的信息。 Firefox就会试图存取位置,并下载符合UPnP规格的XML档案。

研究人员发现,攻击者可以设立一台恶意SSDP伺服器,然后以包含指向Android intent URI的恶意信息取代位置信息,驱动Firefox浏览器执行这个意图(intent)。 例如迫使Android手机上的Firefox连接到恶意网址,而这些操作全都无需受害者的任何动作。

由于这项漏洞仅出现在Firefox 79以前的Android版本,因此研究人员也呼吁用户尽快升级到79以后的版本。其他平台版本则不受影响。


回到顶部