Los desarrolladores de Mozilla han corregido una falla crítica que podría haber sido explotada para secuestrar cualquier versión del navegador Firefox para Android, forzando al usuario objetivo a acceder a sitios maliciosos.
Chris Moberly, investigador de GitLab, encontró esta falla, mencionando además que la explotación requiere que el actor de amenazas esté conectado a la misma red WiFi que el smartphone comprometido.
Acorde al reporte, la falla reside en el componente Simlpe Service Discovery Protocol (SSDP) del navegador para móviles, que se encarga de encontrar otros dispositivos en la misma red para compartir o recibir contenido. En otras palabras, este es el componente que permite compartir transmisiones de video con plataformas como YouTube, Roku, entre otras.
Al encontrar un dispositivo, el componente SSDP obtiene la ubicación de un archivo XML donde se almacena la configuración del dispositivo encontrado. El experto descubrió que en versiones anteriores de Firefox, es posible ocultar los comandos “intent” de Android, lo que permite al navegador móvil ejecutar dichos comandos, generando una conducta anómala en Firefox.
“Imaginemos que un hacker ingresa a un aeropuerto o centro comercial, se conecta a la red WiFi del lugar y lanza un script que envía spam a través de paquetes SSDP especialmente diseñados; esta actividad comprometería cualquier dispositivo Android con Firefox móvil instalado, lo que podría conducir a ataques de phishing, instalación de extensiones maliciosas, entre otros escenarios”, menciona el experto.
En otro escenario de ataque descrito, los actores de amenazas podrían aprovechar fallas en los enrutadores más inseguros para enviar spam a las redes de una organización y robar las credenciales de inicios de sesión de los usuarios. El investigador publicó algunos videos junto con su prueba de concepto.
El informe fue presentado a Mozilla hace algunos meses, por lo que se lanzó la actualización Firefox 79 para corregir las fallas, aunque es muy probable que muchos usuarios aún no actualicen a la versión corregida. Las versiones de Firefox para equipos de escritorio no se vieron afectadas por esta falla. Al respecto, Mozilla no agregó más detalles técnicos de la falla, aunque recomendó a los usuarios que actualicen a las versiones más recientes.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.