Es el momento de actualizar Firefox para Android a su versión 80 porque sufre un fallo de seguridad muy fácil de explotar. Permite a un atacante en la misma red WiFi abrir arbitrariamente cualquier URL en el navegador de la víctima, sin que este deba generar ninguna acción. El exploit Evil-SSDP disponible fue desarrollado para Firefox for Android versión 68.11.0 y anteriores, la aplicación de escritorio no tiene esta vulnerabilidad.

Se puede engañar al motor SSDP en Firefox para Android (68.11.0 y versiones anteriores) para que active los URI de Android sin interacción del usuario. Este ataque puede ser aprovechado por atacantes en la misma red WiFi y se manifiesta como aplicaciones en el dispositivo objetivo que se inician repentinamente, sin el permiso de los usuarios.

El objetivo simplemente tiene que tener la aplicación Firefox ejecutándose en su teléfono. No necesitan acceder a sitios web maliciosos ni hacer clic en enlaces maliciosos. No se requiere la instalación de una aplicación maliciosa o de un atacante en el medio. Simplemente pueden estar bebiendo café mientras están en el WiFi de un café, y su dispositivo comenzará a ejecutar URI de la aplicación bajo el control del atacante.

Simple y mágicamente, se abre una web elegida por el atacante en Firefox, y la única condición es estar en la misma red y que la víctima tenga corriendo Firefox. El fallo es simple. El atacante desde la misma red WiFi engaña al navegador indicándole que hay un servidor SSDP (Simple Service Discovery Protocol) con una configuración determinada.

Firefox siempre está buscando servidores SSDP en otros dispositivos, por si pudiera proyectar algo en ellos. Así que cuando encuentra el del atacante, este le responde con un XML con las especificaciones del dispositivo UPnP que puede encontrar en la red. Y en ellas puede ir la URL maliciosa que el atacante hace visitar a la víctima sin que esta tenga que hacer absolutamente nada. La página aparecerá visitada en su dispositivo.

El investigador InitString descubrió este error probando la versión de Firefox Mobile v79 e informó el problema directamente a Mozilla. Pudieron confirmar que la funcionalidad vulnerable no estaba incluida en la versión más reciente y abrieron algunos problemas para asegurarse de que el código ofensivo no se reintrodujera en un momento posterior.

Existe Prueba de Concepto muy sencilla de ejecutar y pruebas de su funcionamiento.

También es un buen momento para conocer la herramienta EvilSSDP que mezcla el spoofing con el phishing con un objetivo: capturar credenciales mediante el spoofing de dispositivos en una red empresarial.

Fuente: CyberSecurityPulse (by ElevenPaths)