欢迎光临
我们一直在努力

Android旧版Firefox浏览器漏洞会导致设备被同一Wi-Fi网路的黑客劫持

第一资讯站 9月21日消息记者 刘文轩)澳洲研究人员CHRis Moberly发现Android版Firefox一项漏洞,可让攻击者劫持同一Wi-Fi网路下的Firefox浏览器用户,使对方连接到恶意网站。

Mozilla已经在Android版Firefox 79以后的版本中解决了这一漏洞。

这项漏洞存在于Android版Firefox上的简单服务发现协议(Simple Service Discovery PRotocol,SSDP)。 SSDP为构成通用随插即用(UPnP)技术的UDP协议。一台设备发送SSDP广播寻找到同一区域网路上的其他装置,以分享内容

Android版Firefox通过发送SSDP信息,寻找其他设备,比如Roku,以实现第二屏的使用场景,例如播放媒体或网页内容

研究人员称,Firefox浏览器发送广播信息时,同一局域网的设备会加以回应,并回传一个UPnP设备所在位置的信息。 Firefox就会试图存取位置,并下载符合UPnP规格的XML档案

研究人员发现,攻击者可以设立一台恶意SSDP伺服器,然后以包含指向Android intent URI的恶意信息取代位置信息,驱动Firefox浏览器执行这个意图(intent)。 例如迫使Android手机上的Firefox连接到恶意网址,而这些操作全都无需受害者的任何动作。

由于这项漏洞仅出现在Firefox 79以前的Android版本,因此研究人员也呼吁用户尽快升级到79以后的版本。其他平台版本则不受影响。

赞(0)
未经允许不得转载:第一资讯站 » Android旧版Firefox浏览器漏洞会导致设备被同一Wi-Fi网路的黑客劫持
分享到: 更多 (0)
'); })();