Sicherheitslücke: Mobiler Firefox-Browser führte Befehle aus dem WLAN aus

Im gleichen WLAN konnten Angreifer den mobilen Firefox-Browser unter Android beliebige Webseiten oder andere Apps öffnen lassen - ohne Nutzerinteraktion.

Artikel veröffentlicht am ,
Ein roter Panda, das Maskottchen von Firefox
Ein roter Panda, das Maskottchen von Firefox (Bild: marcosbf/Pixabay)

Angreifende konnten der mobilen Version von Firefox Android-Intent-Befehle schicken, sofern sie sich im gleichen WLAN wie das Smartphone befanden. Mit Android-Intent-Befehlen lassen sich Informationen und Befehle ohne Nutzerinteraktion an Apps übergeben. In einem Proof-of-Concept-Video (PoC) demonstriert der Entdecker und Gitlab-Mitarbeiter Chris Moberly, wie er beliebige Webseiten in Firefox öffnen lassen oder die Telefon-App mit einer vorausgefüllten Telefonnummer starten kann.

Stellenmarkt
  1. Assistenz IT-Leitung (m/w/d)
    NOWEDA eG Apothekergenossenschaft, Essen
  2. IT-Recruiter (m/w/d)
    Cegeka Deutschland GmbH, Neu Isenburg, Köln
Detailsuche

Die Sicherheitslücke wurde mit Version 79, einem von Grund auf neu gestalteten Firefox-Browser für Android, behoben. Die Vorgängerversion bis einschließlich Firefox 68.11.0 ist jedoch verwundbar. Personen, die noch nicht auf die neue Version des mobilen Firefox-Browsers aktualisiert haben, sollten dies dringend tun - auch wenn ihnen das alte Firefox besser gefallen hat. Die Version lässt sich in den Einstellungen des mobilen Firefox-Browsers unter dem Punkt "Über Firefox" überprüfen.

Die Sicherheitslücke steckte im Simple Service Discovery Protocol (SSDP), mit dem Firefox Geräte im selben Netzwerk findet, um Inhalte, beispielsweise Videostreams, zu teilen oder zu empfangen. Entdeckt Firefox ein solches Gerät, empfängt es eine XML-Datei, in der dessen Konfiguration abgelegt ist.

Befehle konnten in Konfigurationsdatei versteckt werden

Der Sicherheitsforscher entdeckte, dass in der XML-Konfiguration Android-Intent-Befehle versteckt werden konnten, die der Firefox-Browser ausführt. Damit lassen sich jedoch nicht beliebige Befehle, sondern nur bereits von Android definierte ausführen. Beispielsweise ist es möglich, den Browser beliebige Webseiten ohne Nutzerinteraktion öffnen zu lassen.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Einzige Voraussetzung: Die angreifende Person und das verwundbare Firefox mussten sich im selben Netzwerk befinden, beispielsweise im WLAN eines Flughafens. Angreifende hätten so beispielsweise Spam versenden oder zum Installieren einer Schad-App oder -Erweiterung auffordern können.

Der Sicherheitsforscher hatte die Sicherheitslücke entdeckt, als Mozilla bereits damit angefangen hatte, die nicht mehr verwundbare Version 79 zu verteilen. Zur Sicherheit habe er die Lücke dennoch gemeldet, schreibt Moberly - und lobt die angenehme und freundliche Reaktion von Mozilla. Auf Gitlab hat der Sicherheitsforscher ein Proof-of-Concept-Skript veröffentlicht, mit dem sich die Sicherheitslücke ausnutzen lässt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


oXe 27. Sep 2020

Okay - Dann ist es jetzt Zeit auf Chrome umzusteigen.....

Toni32 22. Sep 2020

Kennst Du die so gut, und die Einbruchsmethoden, daß Du das sagen kannst ? Im Prinzip...

Xar 22. Sep 2020

Und nachdem Leute, die es eigentlich besser wissen sollten einfach Unsinn verbreitet...

DASPRiD 21. Sep 2020

Thanks! Wusste nicht, dass man das wieder zurückstellen kann. Viel besser jetzt :) Und...

Proctrap 21. Sep 2020

Huh, also über eine neue UI lässt sich ja immer diskutieren, aber ich hab jetzt keine...



Aktuell auf der Startseite von Golem.de
Halo Infinite im Test
Master Chief gefangen zwischen Waffe und Welt

Eine doofe Nebenfigur, sinnlose offene Umgebungen: Vor allem das tolle Kampfsystem rettet die Kampagne von Halo Infinite.
Ein Test von Peter Steinlechner

Halo Infinite im Test: Master Chief gefangen zwischen Waffe und Welt
Artikel
  1. Amazon: Alexa wacht über Waschmaschinen und laufenden Wasserhahn
    Amazon
    Alexa wacht über Waschmaschinen und laufenden Wasserhahn

    Alexa kann hierzulande eine Waschmaschine oder einen Wasserhahn belauschen und Bescheid geben, wenn etwa die Wäsche fertig ist.

  2. Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
    Kanadische Polizei
    Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

    Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

  3. Resident Evil (1996): Grauenhaft gut
    Resident Evil (1996)
    Grauenhaft gut

    Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /