Se ha descubierto una nueva vulnerabilidad para el navegador
web Firefox en su versión 68.11.0 y anteriores. Esta vulnerabilidad, ha
aparecido solo en la aplicación móvil excluyendo por lo tanto la de escritorio.
El fallo permite a un atacante en la misma red Wi-Fi abrir cualquier URL en el
navegador Firefox de la víctima, sin que esta abra ni siquiera el propio
navegador, los atacantes están utilizando el exploit Evil-SSDP para explotar dicha
vulnerabilidad.
El error afecta al motor SSDP del navegador, engañándolo para
que este active los URI de Android sin la interacción del usuario. El ataque
inicia repentinamente aplicaciones en el dispositivo objetivo sin el permiso de
los usuarios.
En este tipo de ataque el usuario no tiene por qué interactuar
con un sitio web malicioso, hacer clic en un enlace malicioso, o instalar
ninguna aplicación maliciosa, simplemente debe tener el navegador Firefox ejecutándose
en su teléfono.
El atacante se encarga de engañar al navegador indicándole
que hay un servidor SSDP “Simple Service Discovery Protocol” con una
configuración determinada, siempre y cuando el atacante y la victima se
encuentren en la misma red Wi-Fi.
El navegador el cual siempre se encuentra en busca de nuevos
servidores SSDP en otros dispositivos, se encuentra con el del atacante, este le
responde con un XML especificando el dispositivo UPnP que puede encontrar en la
red. En este UPnP es donde es encontrara la URL maliciosa, que el atacante hace
visitar a la víctima sin que está tenga que hacer nada.
El investigador InitString descubrió que este error todavía está
presente en la versión de Firefox Mobile v79 e informo de ello directamente a
Mozilla. Mozilla confirmo después, que está vulnerabilidad no se encuentra
presente en la versión más reciente de la aplicación, por lo cual, es
recomendable actualizar la aplicación a su versión más reciente.