باگ امنیتی مرورگر فایرفاکس در سیستم‌عامل اندروید

شرکت موزیلا به تازگی باگی (Bug) را در مرورگر فایرفاکس رفع کرده‌ است که سوءاستفاده از این ‫باگ موجب می‌شود تا کنترل تمام مرورگرهای فایرفاکس ‫اندروید موجود در یک شبکه وای‌فای را در دست گرفته و کاربران را وادار به دسترسی به سایت‌های مخرب از جمله سایت‌های فیشینگ کرد. این آسیب‌پذیری توسط Chris Moberly که در GitLab کار می‌کند، شناسایی شده‌ است.
در واقع، مولفه Simple Service Discovery Protocol فایرفاکس که به اختصار SSDP نامیده می‌شود، آسیب‌پذیر است. SSDP مکانیزمی است که فایرفاکس برای شناسایی دیگر دستگاه‌های موجود در شبکه جهت اشتراک و دریافت محتوا (برای مثال اشتراک ویدئو با دستگاه Roku) استفاده می‌کند. زمانی که مکان دستگاه شناسایی شد، مولفهSSDP فایرفاکس مکان فایل XML را که پیکربندی دستگاه در آن قرار دارد، دریافت می‌کند.
Moberly نشان داد که در نسخه‌های پیشین فایرفاکس می‌توان دستورات Intent اندروید را در این فایل XML مخفی کرد و مرورگر فایرفاکس را وادار به اجرای این دستورات Intent نمود.
دستورات Intent پیغام‌هایی هستند که به واسطه آن‌ها از سیستم تقاضای انجام کار یا عملیات خاصی می‌شود. با استفاده از آبجکت intent می‌توان بین کامپوننت‌های مختلف یک برنامه‌کاربری و حتی کامپوننت‌های نرم‌افزاری دیگر برنامه‌های کاربردی تعامل برقرار کرده و اطلاعات رد و بدل نمود. برای مثال، یک Activity می‌تواند Activity دیگر را جهت عکس گرفتن اجرا کند یا به فایرفاکس بگوید که وارد لینک مشخصی شود.
آسیب‌پذیری شرح داده شده در نسخه 79 از فایرفاکس رفع شده است. بنابراین به تمام کاربرانی که از مرورگر فایرفاکس در سیستم‌عامل اندروید استفاده می‌کنند، توصیه می‌شود که مرورگر خود را به آخرین نسخه موجود به‌روزرسانی نمایند.

منابع:

[1] https://www.zdnet.com/article/firefox-bug-lets-you-hijack-nearby-mobile-browsers-via-wifi/
[2]https://www.terabitweb.com/2020/09/19/firefox-android-wifi-hacking-html/