Une faille sur Firefox permet le détournement des navigateurs mobiles à proximité via Wi-Fi
Mozilla a annoncé que les utilisateurs doivent rapidement mettre à jour Firefox v79 pour Android. En effet, Mozilla a corrigé une faille dont on pouvait abuser afin de détourner tous les navigateurs Firefox pour Android sur le même réseau Wi-Fi et obliger les utilisateurs à accéder aux sites malveillants, comme par exemple les pages de phishing.
La faille a été détectée par Chris Moberly, un chercheur en sécurité australien chez GitLab. La faille réelle réside dans le composant Firefox SSDP (Simple Service Discovery Protocol). Ce dernier est un mécanisme par lequel Firefox trouve d’autres appareils sur le même réseau pour partager ou bien recevoir du contenu, comme le partage de flux vidéo avec un appareil Roku. Quand des appareils sont détectés, le composant Firefox SSDP obtient l’emplacement d’un fichier XML où la configuration de l’appareil en question est stockée.
Néanmoins, Moberly a découvert qu’il est possible de masquer les commandes « d’intention » d’Android dans ce XML des anciennes versions et demander au navigateur Firefox d’exécuter « l’intention », ce qui pourrait être une commande régulière comme indiquer à Firefox d’accéder à un lien.