Ältere Versionen der Firefox-App für Android enthalten einen Bug, der es Angreifern ermöglicht, den Browser zu übernehmen. Diese können dann Remote Code-Angriffe durchführen.
The Hacker News hat das Ganze in diesem Beitrag aufgegriffen. Der ESET Sicherheitsforscher Luaks Stefanko hat den Angriff bereits am 18. September 2020 in einem Video demonstriert und auf Twitter online gestellt.
(Firefox for Androi takeover, Zum Anzeigen klicken)
Die Schwachstelle wurde von Chris Moberly entdeckt und auf GitHub beschrieben. Moberly gibt an, dass die SSDP-Engine in Firefox für Android (68.11.0 und niedriger) so ausgetrickst werden kann, dass sie Android Intent-URIs ohne Benutzerinteraktion auslöst. Diese Schwachstelle lässt sich von Angreifern im selben WiFi-Netzwerk ausnutzen, um Anwendungen auf dem Zielgerät plötzlich und ohne die Erlaubnis der Benutzer zu starten und Aktivitäten auszuführen.
Das Angriffsopfer muss lediglich die Firefox-App in einer verwundbaren Form auf seinem Android-Gerät laufen haben. Nutzer müssen nicht auf bösartige Websites zugreifen oder auf bösartige Links klicken. Es ist keine Installation von Man-in-the-Middle- oder bösartigen Apps erforderlich. Es reicht, sich beispielsweise mit dem Android-Gerät am WiFi eines Cafés anzumelden. Ein Angreifer, der im gleichen WiFi-Netzwerk eingebunden ist, könnte dann Anwendungs-URIs kontrolliert auf dem Gerät des Opfers starten.
Chris Moberly hat diesen Fehler entdeckt, als die neueste Version von Firefox Mobile v79 weltweit ausgerollt wurde. Zu diesem Zeitpunkt wurde im Google Play Store noch eine anfällige Version angeboten, allerdings nur für kurze Zeit. Moberly hat das Problem zur Sicherheit direkt an Mozilla gemeldet. Die Mozilla-Entwickler haben sofort reagiert und die Schwachstelle beseitigt. Technische Details zur Schwachstelle, die in aktuellen Versionen der Android Firefox-App beseitigt ist, sind auf GitHub beschrieben.
Juckt mich nicht mehr…
Der neue Firefox unter Android nervt nur noch (umständliches Nutzen der Lesezeichen, Seite als PDF speichern nicht mehr möglich etc.).
Bin zu Vivaldi gewechselt und sehr zufrieden.
Hallo,
Sie haben tatsächlich ein Punkt angesprochen der seit Wochen im Playstore mit 1-Stern bewertet wird, da der Blink-Browser vormals Gecko mit undurchdachten Features und Options ausgerollt wurde.
Hier würde sich ein Artikel auf dieser Seite anbieten, um evtl. Anwender davor zu warnen mit einer Installation ihre Konfiguration zu zerschießen.
Das ist echt schade. Will da jemand den Firefox absichtlich kaputt machen?
Die Chefin Emily Kager hat ja den Kritikern den Fuck-Finger gezeigt.
Wie sieht es unter Windows aus?
Man traut sich gar nicht, die alte ESR 68.12.0 zu deinstallieren.