Categories: BrowserWorkspace

Firefox-Bug erlaubt Übernahme des mobilen Browsers per WLAN

Der australische Sicherheitsforscher Chris Moberly, der für GitLab arbeitet, hat eine Sicherheitslücke in Firefox für Android entdeckt. Sie erlaubt es einem Angreifer, die Browsersitzungen von Firefox für Android auf anderen Geräten zu übernehmen, die sich im selben WLAN-Netzwerk befinden. Mozilla bietet inzwischen einen Patch für die Schwachstelle an.

Die Anfälligkeit steckt in der Implementierung des Simple Service Discovery Protocol (SSDP). Es erlaubt Firefox, andere Geräte im selben Netzwerk zu finden, um Inhalte auszutauschen. Wird ein Gerät gefunden, erhält die SSDP-Komponente von Firefox den Speicherort einer XML-Datei, in der die Konfiguration des anderen Geräts hinterlegt ist.

Moberly fand heraus, dass es bei älteren Firefox-Versionen möglich ist, sogenannte Intent-Befehle von Android in der XML-Datei zu verstecken. Zudem kann Firefox dazu gebracht werden, die Intent-Befehle auszuführen, um den Browser beispielsweise anzuweisen, auf einen bestimmten Link zuzugreifen.

Der Bug lässt sich dem Forscher zufolge auch in einem konkreten Szenario ausnutzen. So könnte ein Angreifer in einem WLAN-Netz eines Flughafens oder eines Einkaufszentrums das Netzwerk mit speziell gestalteten SSDP-Paketen fluten. Solche Pakete würden alle Versionen von Firefox für Android in diesem Netzwerk dazu zwingen, einen bestimmte Website zu laden. Auch die Installation von Browsererweiterungen soll möglich sein. Gelingt es einem Hacker, sich Zugang zu einem WLAN-Router eines Netzwerks zu verschaffen, könnte er Mitarbeiter auch dazu bringen, sich auf Phishing-Websites erneut anzumelden.

Seit Anfang vergangener Woche liegt ein von Moberly entwickelter Proof-of-Concept-Exploit vor. Zusammen mit einem Sicherheitsforscher von Eset veröffentlichte er zudem ein Video, das den Angriff zeigt.

Mozilla informierte er bereits im Lauf des Sommers über seine Erkenntnisse. Das Unternehmen stopfte die Sicherheitslücke daraufhin mit Firefox 79 für Android. Nutzer sollten beispielsweise über den Play Store kontrollieren, ob sie bereits die aktuelle Version erhalten haben. Die Desktop-Version des Mozilla-Browsers war nicht betroffen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Hewlett Packard Enterprise übertrifft die Gewinnerwartungen im vierten Fiskalquartal

Der Umsatz steigt um 2 Prozent auf 7,4 Milliarden Dollar. Dazu trägt vor allem die…

11 Stunden ago

Deloitte: Chipkrise hält 2022 an

Zu einer Besserung soll es erst im Jahr 2023 kommen. Besonders betroffen sind Chips mit…

11 Stunden ago

Britische Kartellwächter untersagen Akquisition von Giphy durch Meta

Sie reklamieren Einschränkungen für den Markt für Displaywerbung. Giphy könnte Meta aber auch helfen, Facebooks…

11 Stunden ago

Zero Trust für OT in kritischen Infrastrukturen

Zero Trust in kritischen Infrastrukturen unter Operations Technologie (OT) umzusetzen, ist dringend notwendig, aber eine…

15 Stunden ago

Netzwerksicherheit erfordert professionelle Partner

Netzwerkmanagement in hybriden und Multi-Cloud-Umgebungen muss in eine Gesamtstrategie für Cybersicherheit einbezogen werden. Dafür sind…

16 Stunden ago

AWS bietet Graviton2-basierte EC2-Instanzen für GPU-basierte Workloads

Ein mögliches Einsatzgebiet ist das Streaming von Android-Spielen. Vorteile ergeben sich auch bei der Nutzung…

2 Tagen ago