Sicherheitslücke: Mobiler Firefox-Browser führte Befehle aus dem WLAN aus

Im gleichen WLAN konnten Angreifer den mobilen Firefox-Browser unter Android beliebige Webseiten oder andere Apps öffnen lassen - ohne Nutzerinteraktion.

Artikel veröffentlicht am ,
Ein roter Panda, das Maskottchen von Firefox
Ein roter Panda, das Maskottchen von Firefox (Bild: marcosbf/Pixabay)

Angreifende konnten der mobilen Version von Firefox Android-Intent-Befehle schicken, sofern sie sich im gleichen WLAN wie das Smartphone befanden. Mit Android-Intent-Befehlen lassen sich Informationen und Befehle ohne Nutzerinteraktion an Apps übergeben. In einem Proof-of-Concept-Video (PoC) demonstriert der Entdecker und Gitlab-Mitarbeiter Chris Moberly, wie er beliebige Webseiten in Firefox öffnen lassen oder die Telefon-App mit einer vorausgefüllten Telefonnummer starten kann.

Stellenmarkt
  1. Assistant Data Management für Marketing/CRM
    Porsche Consulting GmbH, Stuttgart, München, Frankfurt am Main, Berlin, Hamburg
  2. (Senior) Project Manager für Android- oder iOS-Applikationen (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr
Detailsuche

Die Sicherheitslücke wurde mit Version 79, einem von Grund auf neu gestalteten Firefox-Browser für Android, behoben. Die Vorgängerversion bis einschließlich Firefox 68.11.0 ist jedoch verwundbar. Personen, die noch nicht auf die neue Version des mobilen Firefox-Browsers aktualisiert haben, sollten dies dringend tun - auch wenn ihnen das alte Firefox besser gefallen hat. Die Version lässt sich in den Einstellungen des mobilen Firefox-Browsers unter dem Punkt "Über Firefox" überprüfen.

Die Sicherheitslücke steckte im Simple Service Discovery Protocol (SSDP), mit dem Firefox Geräte im selben Netzwerk findet, um Inhalte, beispielsweise Videostreams, zu teilen oder zu empfangen. Entdeckt Firefox ein solches Gerät, empfängt es eine XML-Datei, in der dessen Konfiguration abgelegt ist.

Befehle konnten in Konfigurationsdatei versteckt werden

Der Sicherheitsforscher entdeckte, dass in der XML-Konfiguration Android-Intent-Befehle versteckt werden konnten, die der Firefox-Browser ausführt. Damit lassen sich jedoch nicht beliebige Befehle, sondern nur bereits von Android definierte ausführen. Beispielsweise ist es möglich, den Browser beliebige Webseiten ohne Nutzerinteraktion öffnen zu lassen.

Golem Karrierewelt
  1. Anti-Hacking & Hacking für Web Developer (mit OWASP): virtueller Zwei-Tage-Workshop
    03./04.04.2023, Virtuell
  2. IT-Sicherheit: (Anti-)Hacking für Administratoren und Systembetreuer: virtueller Drei-Tage-Workshop
    28.-30.06.2023, Virtuell
Weitere IT-Trainings

Einzige Voraussetzung: Die angreifende Person und das verwundbare Firefox mussten sich im selben Netzwerk befinden, beispielsweise im WLAN eines Flughafens. Angreifende hätten so beispielsweise Spam versenden oder zum Installieren einer Schad-App oder -Erweiterung auffordern können.

Der Sicherheitsforscher hatte die Sicherheitslücke entdeckt, als Mozilla bereits damit angefangen hatte, die nicht mehr verwundbare Version 79 zu verteilen. Zur Sicherheit habe er die Lücke dennoch gemeldet, schreibt Moberly - und lobt die angenehme und freundliche Reaktion von Mozilla. Auf Gitlab hat der Sicherheitsforscher ein Proof-of-Concept-Skript veröffentlicht, mit dem sich die Sicherheitslücke ausnutzen lässt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


oXe 27. Sep 2020

Okay - Dann ist es jetzt Zeit auf Chrome umzusteigen.....

Toni32 22. Sep 2020

Kennst Du die so gut, und die Einbruchsmethoden, daß Du das sagen kannst ? Im Prinzip...

Xar 22. Sep 2020

Und nachdem Leute, die es eigentlich besser wissen sollten einfach Unsinn verbreitet...

DASPRiD 21. Sep 2020

Thanks! Wusste nicht, dass man das wieder zurückstellen kann. Viel besser jetzt :) Und...



Aktuell auf der Startseite von Golem.de
Telekom-Internet-Booster
Hybridzugang für über 600 MBit/s inhouse kommt

Der Hybridzugang, bei dem der Router die Datenrate aus Festnetz und 5G-Mobilfunknetz aggregiert, wurde schon lange erwartet. Jetzt liefert die Telekom.

Telekom-Internet-Booster: Hybridzugang für über 600 MBit/s inhouse kommt
Artikel
  1. Luftfahrt: Boeing zeigt Konzept eines Tarnkappen-Transportflugzeugs
    Luftfahrt
    Boeing zeigt Konzept eines Tarnkappen-Transportflugzeugs

    Um weniger angreifbar zu sein, sollen militärische Transportflugzeuge künftig mit Tarnkappentechnik ausgestattet werden, wie Boeing zeigt.

  2. Quartalsbericht: IBM streicht 3.900 Stellen
    Quartalsbericht
    IBM streicht 3.900 Stellen

    Auch nach der Ausgründung sind die Techies bei Kyndryl nicht vor einem Stellenabbau sicher. IBM macht es wie die übrige Techbranche.

  3. Pinecil im Test: Ein toller Lötkolben mit RISC-V-Prozessor
    Pinecil im Test
    Ein toller Lötkolben mit RISC-V-Prozessor

    Günstig, leistungsstark und Open Source: Das macht den Lötkolben Pinecil interessant und er überzeugt im Test - auch im Vergleich mit einer JBC-Lötstation.
    Ein Test von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM & Grakas im Preisrutsch • PS5 ab Lager bei Amazon • MindStar: MSI RTX 4090 1.899€, Sapphire RX 7900 XT 949€ • WSV: Bis -70% bei Media Markt • Gaming-Stühle Razer & HP bis -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€ • Razer bis -60% [Werbung]
    •  /