Please enable JS

Blog

Firefox para Android podia ser manipulado na rede Wi-Fi para abrir sites 'sozinho'

Firefox podia ser manipulado na rede Wi-Fi para abrir sites ‘sozinho’

24 de setembro de 2020 / Tecnologia / por Comunicação Krypton BPO

Aplicativo só precisava estar aberto para que qualquer outra pessoa na mesma rede sem fio pudesse forçar a abertura de sites. Problema já foi corrigido pela Mozilla.

A Mozilla corrigiu uma vulnerabilidade que deixava o navegador Firefox ser manipulado por outras pessoas que estivessem na mesma rede de internet sem fio (Wi-Fi). Na prática, a falha podia ser usada para obrigar o navegador a exibir sites, dando a impressão de que o smartphone estava sendo controlado por outra pessoa.

O problema foi descoberto pelo especialista em segurança Chris Moberly. Ele publicou um vídeo no Twitter demonstrando a falha em ação: quando um comando é executado em um computador para transmitir uma mensagem na rede, o celular abre sozinho um site no navegador Firefox.

Para estar vulnerável a esse ataque, bastavam duas condições: ter uma conexão ativa a uma rede Wi-Fi e estar com o navegador Firefox para Android aberto no smartphone.

Moberly descobriu que o Firefox lidava incorretamente com o protocolo simples para descoberta de serviços (SSDP, na sigla em inglês), uma tecnologia na qual dispositivos anunciam sua presença para outros em uma rede. A comunicação ocorre por meio de mensagens transmitidas a todos os dispositivos conectados à rede.

Não há interação direta com o SSDP, mas ele produz efeitos que facilitam o uso de dispositivos. Ele pode ser usado, por exemplo, para que um smartphone ou computador saiba que está conectado na mesma rede de um aparelho de televisão compatível com streaming (“casting”) de conteúdo, o que permite continuar a reprodução de um vídeo ou música no televisor.

No entanto, a interpretação do Firefox dessas mensagens acabava levando o navegador a abrir qualquer site indicado por outra pessoa na rede, sem que houvesse autorização para isso.

Embora uma pessoa mal-intencionada pudesse obrigar o navegador a exibir um site, esta falha por si só não era capaz de acessar dados ou comprometer o aparelho celular com um programa espião. Como o problema foi identificado por um especialista e comunicado diretamente à Mozilla, não há qualquer registro de que a falha tenha sido usada em ataques reais.

A vulnerabilidade está corrigida desde a versão 79 do Firefox. Dessa maneira, basta atualizar o navegador no Android para ficar imune a esse ataque específico. A versão atual do navegador é a 80.1.3.

As versões do Firefox para outros sistemas – como Windows, Linux e macOS – não estavam vulneráveis.

Fonte: G1

Imagem: Rawpixel.com – Freepik.com

Posts relacionados

Microsoft começa a distribuir atualização que remove o Adobe Flash Player do Windows 10

Microsoft começa a distribuir atualização que remove o Adobe Flash Player do Windows 10

30 de outubro de 2020 / Tecnologia / por Comunicação Krypton BPO
É perigoso contratar uma 'internet de bairro' ou pequenos provedores locais?

É perigoso contratar uma ‘internet de bairro’ ou pequenos provedores locais?

29 de outubro de 2020 / Tecnologia / por Comunicação Krypton BPO
Black Friday: comparador de preços do Google chega ao Brasil

Black Friday: comparador de preços do Google chega ao Brasil

28 de outubro de 2020 / Tecnologia / por Comunicação Krypton BPO
WhatsApp passará a cobrar empresas por alguns serviços na versão Business

WhatsApp passará a cobrar empresas por alguns serviços na versão Business

27 de outubro de 2020 / Tecnologia / por Comunicação Krypton BPO
Nós e as tecnologias exponenciais

Nós e as tecnologias exponenciais

26 de outubro de 2020 / Tecnologia / por Comunicação Krypton BPO

Qual a importância da segurança da informação em tempo de pandemia?

23 de outubro de 2020 / Tecnologia / por Comunicação Krypton BPO

abc