攻击者利用漏洞可以通过 Wi-Fi 网络劫持 Android
声明:该文章由作者(ksbugs)发表,转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。
ESET安全研究人员Lukas Stefanko昨天在推特上发布了一条警报,报告显示最近披露的一个影响Android版Firefox的高危远程命令执行漏洞已被利用。
该漏洞最初由澳大利亚安全研究人员Chris Moberly发现,该漏洞存在于浏览器的SSDP引擎中,攻击者可以利用该漏洞将安装了Firefox的Android手机锁定为与攻击者连接到同一Wi-Fi网络的Android手机上。
SSDP是简单服务发现协议(Simple Service Discovery Protocol)的缩写,它是UPnP的一部分,用于查找网络上的其他设备。在Android中,Firefox会定期向连接到同一网络的其他设备发送SSDP发现消息,寻找第二个屏幕设备。
本地网络上的任何设备都可以响应这些广播并提供一个位置来获取UPnP设备的详细信息,然后Firefox尝试访问该位置,期望找到符合UPnP规范的XML文件。
视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html
Moberly提交给Firefox团队的漏洞报告显示,受害者的Firefox浏览器的SSDP引擎可以通过简单地用一条指向Android意图URI的特制消息替换响应包中XML文件的位置,从而诱使其触发Android恶意命令。
为此,连接到目标Wi-Fi网络的攻击者可以在其设备上运行恶意SSDP服务器,并通过Firefox在附近的Android设备上触发恶意命令,这些过程无需与受害者进行任何交互。
哪些恶意命令包括自动启动浏览器和打开任何已定义的URL,据研究人员称,这足以诱使受害者提供其凭据、安装恶意应用程序以及基于周围场景的其他恶意活动。
Moberly表示,“目标只需在手机上运行Firefox应用程序。他们不需要访问任何恶意网站或点击任何恶意链接。不需要中间攻击者或安装恶意应用程序。他们只需在咖啡厅中使用Wi-Fi喝咖啡,攻击者就会控制他们的设备启动应用程序URI。”
视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html
“它类似于网络钓鱼攻击,在这种攻击中,恶意网站会在他们不知情的情况下强行攻击目标,使受害者输入一些敏感信息或同意安装恶意应用程序。”
Moberly在几周前向Firefox团队报告了这个漏洞,Firefox浏览器制造商目前已经在Firefox Android 80及更高版本中修补了这个漏洞。
Moberly还向公众发布了一个概念验证漏洞,Stefanko曾在上述视频中针对连接到同一网络的三个设备演示了该漏洞。
来源:The Hacker News,译者:芋泥啵啵奶茶。
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
- 1 习近平主席拉美之行高光时刻 7932370
- 2 央视曝光羽绒骗局!你的孩子可能在穿 7970015
- 3 全网寻找的豫P7A525找到了 7863199
- 4 特色文旅释放消费“新”热潮 7763812
- 5 叶嘉莹逝世 享年100岁 7605997
- 6 年底前你的工资卡或多这几笔钱 7579605
- 7 “最听劝的局长”拟获提拔 7473535
- 8 王楚钦横扫张本智和夺冠 7393207
- 9 女子称花12万整形后被说老了10岁 7216827
- 10 李子柒穿绿色唐朝襦裙太绝了 7168107