Please enable JS

Blog

Firefox para Android podia ser manipulado na rede Wi-Fi para abrir sites 'sozinho'

Firefox podia ser manipulado na rede Wi-Fi para abrir sites ‘sozinho’

24 de setembro de 2020 / Tecnologia / por Comunicação Krypton BPO

Aplicativo só precisava estar aberto para que qualquer outra pessoa na mesma rede sem fio pudesse forçar a abertura de sites. Problema já foi corrigido pela Mozilla.

A Mozilla corrigiu uma vulnerabilidade que deixava o navegador Firefox ser manipulado por outras pessoas que estivessem na mesma rede de internet sem fio (Wi-Fi). Na prática, a falha podia ser usada para obrigar o navegador a exibir sites, dando a impressão de que o smartphone estava sendo controlado por outra pessoa.

O problema foi descoberto pelo especialista em segurança Chris Moberly. Ele publicou um vídeo no Twitter demonstrando a falha em ação: quando um comando é executado em um computador para transmitir uma mensagem na rede, o celular abre sozinho um site no navegador Firefox.

Para estar vulnerável a esse ataque, bastavam duas condições: ter uma conexão ativa a uma rede Wi-Fi e estar com o navegador Firefox para Android aberto no smartphone.

Moberly descobriu que o Firefox lidava incorretamente com o protocolo simples para descoberta de serviços (SSDP, na sigla em inglês), uma tecnologia na qual dispositivos anunciam sua presença para outros em uma rede. A comunicação ocorre por meio de mensagens transmitidas a todos os dispositivos conectados à rede.

Não há interação direta com o SSDP, mas ele produz efeitos que facilitam o uso de dispositivos. Ele pode ser usado, por exemplo, para que um smartphone ou computador saiba que está conectado na mesma rede de um aparelho de televisão compatível com streaming (“casting”) de conteúdo, o que permite continuar a reprodução de um vídeo ou música no televisor.

No entanto, a interpretação do Firefox dessas mensagens acabava levando o navegador a abrir qualquer site indicado por outra pessoa na rede, sem que houvesse autorização para isso.

Embora uma pessoa mal-intencionada pudesse obrigar o navegador a exibir um site, esta falha por si só não era capaz de acessar dados ou comprometer o aparelho celular com um programa espião. Como o problema foi identificado por um especialista e comunicado diretamente à Mozilla, não há qualquer registro de que a falha tenha sido usada em ataques reais.

A vulnerabilidade está corrigida desde a versão 79 do Firefox. Dessa maneira, basta atualizar o navegador no Android para ficar imune a esse ataque específico. A versão atual do navegador é a 80.1.3.

As versões do Firefox para outros sistemas – como Windows, Linux e macOS – não estavam vulneráveis.

Fonte: G1

Imagem: Rawpixel.com – Freepik.com

Posts relacionados

Câmeras invisíveis: cientistas criam sensor transparente para óculos

28 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

Como proteger a segurança doméstica

26 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

Processo de reconhecimento facial do gov.br foi simplificado

20 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

Google I/O 2024 deve ter destaque especial para Pixel 8a e Android 15

19 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

Sistema utiliza inteligência artificial para detectar animais selvagens na pista e evitar acidentes

18 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

O “Uber Voador” da Embraer está perto de se tornar realidade; entenda

15 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

abc