• IT-Karriere:
  • Services:

Sicherheitslücke: Mobiler Firefox-Browser führte Befehle aus dem WLAN aus

Im gleichen WLAN konnten Angreifer den mobilen Firefox-Browser unter Android beliebige Webseiten oder andere Apps öffnen lassen - ohne Nutzerinteraktion.

Artikel veröffentlicht am ,
Ein roter Panda, das Maskottchen von Firefox
Ein roter Panda, das Maskottchen von Firefox (Bild: marcosbf/Pixabay)

Angreifende konnten der mobilen Version von Firefox Android-Intent-Befehle schicken, sofern sie sich im gleichen WLAN wie das Smartphone befanden. Mit Android-Intent-Befehlen lassen sich Informationen und Befehle ohne Nutzerinteraktion an Apps übergeben. In einem Proof-of-Concept-Video (PoC) demonstriert der Entdecker und Gitlab-Mitarbeiter Chris Moberly, wie er beliebige Webseiten in Firefox öffnen lassen oder die Telefon-App mit einer vorausgefüllten Telefonnummer starten kann.

Stellenmarkt
  1. über Hays AG, Berlin
  2. über grinnberg GmbH, Frankfurt am Main

Die Sicherheitslücke wurde mit Version 79, einem von Grund auf neu gestalteten Firefox-Browser für Android, behoben. Die Vorgängerversion bis einschließlich Firefox 68.11.0 ist jedoch verwundbar. Personen, die noch nicht auf die neue Version des mobilen Firefox-Browsers aktualisiert haben, sollten dies dringend tun - auch wenn ihnen das alte Firefox besser gefallen hat. Die Version lässt sich in den Einstellungen des mobilen Firefox-Browsers unter dem Punkt "Über Firefox" überprüfen.

Die Sicherheitslücke steckte im Simple Service Discovery Protocol (SSDP), mit dem Firefox Geräte im selben Netzwerk findet, um Inhalte, beispielsweise Videostreams, zu teilen oder zu empfangen. Entdeckt Firefox ein solches Gerät, empfängt es eine XML-Datei, in der dessen Konfiguration abgelegt ist.

Befehle konnten in Konfigurationsdatei versteckt werden

Der Sicherheitsforscher entdeckte, dass in der XML-Konfiguration Android-Intent-Befehle versteckt werden konnten, die der Firefox-Browser ausführt. Damit lassen sich jedoch nicht beliebige Befehle, sondern nur bereits von Android definierte ausführen. Beispielsweise ist es möglich, den Browser beliebige Webseiten ohne Nutzerinteraktion öffnen zu lassen.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    3.-7. Mai 2021, online
  2. OpenShift Installation & Administration
    14.-16. Juni 2021, online
Weitere IT-Trainings

Einzige Voraussetzung: Die angreifende Person und das verwundbare Firefox mussten sich im selben Netzwerk befinden, beispielsweise im WLAN eines Flughafens. Angreifende hätten so beispielsweise Spam versenden oder zum Installieren einer Schad-App oder -Erweiterung auffordern können.

Der Sicherheitsforscher hatte die Sicherheitslücke entdeckt, als Mozilla bereits damit angefangen hatte, die nicht mehr verwundbare Version 79 zu verteilen. Zur Sicherheit habe er die Lücke dennoch gemeldet, schreibt Moberly - und lobt die angenehme und freundliche Reaktion von Mozilla. Auf Gitlab hat der Sicherheitsforscher ein Proof-of-Concept-Skript veröffentlicht, mit dem sich die Sicherheitslücke ausnutzen lässt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 26,99€
  2. 3,33€

oXe 27. Sep 2020

Okay - Dann ist es jetzt Zeit auf Chrome umzusteigen.....

Toni32 22. Sep 2020

Kennst Du die so gut, und die Einbruchsmethoden, daß Du das sagen kannst ? Im Prinzip...

Xar 22. Sep 2020

Und nachdem Leute, die es eigentlich besser wissen sollten einfach Unsinn verbreitet...

DASPRiD 21. Sep 2020

Thanks! Wusste nicht, dass man das wieder zurückstellen kann. Viel besser jetzt :) Und...

Proctrap 21. Sep 2020

Huh, also über eine neue UI lässt sich ja immer diskutieren, aber ich hab jetzt keine...


Folgen Sie uns
       


Die Tesla-Baustelle von oben 2020-2021

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben 2020-2021 Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /