Android 사용자 여러분, 스마트 폰에서 Firefox 웹 브라우저를 사용하는 경우 버전 80 또는 Google Play 스토어에서 사용 가능한 최신 버전으로 업데이트되었는지 확인하십시오.
ESET 보안 연구원 인 Lukas Stefanko는 어제 Android 용 Firefox 앱에 영향을 미치는 최근 공개 된 고위험 원격 명령 실행 취약점의 악용을 보여주는 경고를 트윗 했습니다.
호주 보안 연구원 인 Chris Moberly가 처음 발견 한이 취약점은 브라우저의 SSDP 엔진에 있으며, 이는 공격자가 Firefox 앱이 설치된 상태에서 공격자와 동일한 Wi-Fi 네트워크에 연결된 Android 스마트 폰을 대상으로 악용 할 수 있습니다.
SSDP (Simple Service Discovery Protocol)는 네트워크에서 다른 장치를 찾기위한 UPnP의 일부인 UDP 기반 프로토콜입니다. Android에서 Firefox는 동일한 네트워크에 연결된 다른 장치에 주기적으로 SSDP 검색 메시지를 전송하여 전송할 두 번째 화면 장치를 찾습니다.
로컬 네트워크의 모든 장치는 이러한 브로드 캐스트에 응답하고 UPnP 장치에 대한 자세한 정보를 얻을 수있는 위치를 제공 할 수 있습니다. 그 후 Firefox는 해당 위치에 액세스하려고 시도하며 UPnP 사양을 준수하는 XML 파일을 찾습니다. Moberly가 Firefox 팀에 제출 한 취약성 보고서에 따르면, 피해자의 Firefox 브라우저의 SSDP 엔진은 단순히 응답 패킷의 XML 파일 위치를 Android를 가리키는 특수 제작 된 메시지로 대체하여 Android 인 텐트를 트리거하도록 속일 수 있습니다. 의도 URI.
이를 위해 대상 Wi-Fi 네트워크에 연결된 공격자는 자신의 장치에서 악성 SSDP 서버를 실행하고 피해자의 개입없이 Firefox를 통해 근처 Android 장치에서 의도 기반 명령을 트리거 할 수 있습니다.
인 텐트에서 허용하는 활동에는 브라우저를 자동으로 실행하고 정의 된 URL을 여는 것도 포함되며, 연구원에 따르면 피해자를 속여 자격 증명을 제공하고 악성 앱을 설치하고 주변 시나리오를 기반으로하는 기타 악성 활동을 충분히 할 수 있습니다.
"대상은 휴대 전화에서 Firefox 애플리케이션을 실행하기 만하면됩니다. 악성 웹 사이트에 액세스하거나 악성 링크를 클릭 할 필요가 없습니다. 중간 공격 자나 악성 앱 설치가 필요하지 않습니다. 카페의 Wi-Fi에있는 동안 커피를 마시고 그들의 장치는 공격자의 제어하에 애플리케이션 URI를 시작하기 시작합니다. "라고 Moberly는 말했습니다."이는 민감한 정보를 입력하거나 악성 애플리케이션 설치에 동의하기를 바라며 악의적 인 사이트가 자신도 모르게 대상에 강제로 침입하는 피싱 공격과 유사한 방식으로 사용될 수 있습니다."
Moberly는 몇 주 전에 Firefox 팀에이 취약점을보고했으며, 브라우저 제조업체는 이제 Firefox for Android 버전 80 이상에 패치를 적용했습니다.
Moberly는 또한 Stefanko가 동일한 네트워크에 연결된 3 개의 장치에 대해 위 비디오에서 문제를 시연하는 데 사용한 개념 증명 익스플로잇 을 공개했습니다.