Categories: BrowserWorkspace

Firefox-Bug erlaubt Übernahme des mobilen Browsers per WLAN

Der australische Sicherheitsforscher Chris Moberly, der für GitLab arbeitet, hat eine Sicherheitslücke in Firefox für Android entdeckt. Sie erlaubt es einem Angreifer, die Browsersitzungen von Firefox für Android auf anderen Geräten zu übernehmen, die sich im selben WLAN-Netzwerk befinden. Mozilla bietet inzwischen einen Patch für die Schwachstelle an.

Die Anfälligkeit steckt in der Implementierung des Simple Service Discovery Protocol (SSDP). Es erlaubt Firefox, andere Geräte im selben Netzwerk zu finden, um Inhalte auszutauschen. Wird ein Gerät gefunden, erhält die SSDP-Komponente von Firefox den Speicherort einer XML-Datei, in der die Konfiguration des anderen Geräts hinterlegt ist.

Moberly fand heraus, dass es bei älteren Firefox-Versionen möglich ist, sogenannte Intent-Befehle von Android in der XML-Datei zu verstecken. Zudem kann Firefox dazu gebracht werden, die Intent-Befehle auszuführen, um den Browser beispielsweise anzuweisen, auf einen bestimmten Link zuzugreifen.

Der Bug lässt sich dem Forscher zufolge auch in einem konkreten Szenario ausnutzen. So könnte ein Angreifer in einem WLAN-Netz eines Flughafens oder eines Einkaufszentrums das Netzwerk mit speziell gestalteten SSDP-Paketen fluten. Solche Pakete würden alle Versionen von Firefox für Android in diesem Netzwerk dazu zwingen, einen bestimmte Website zu laden. Auch die Installation von Browsererweiterungen soll möglich sein. Gelingt es einem Hacker, sich Zugang zu einem WLAN-Router eines Netzwerks zu verschaffen, könnte er Mitarbeiter auch dazu bringen, sich auf Phishing-Websites erneut anzumelden.

Seit Anfang vergangener Woche liegt ein von Moberly entwickelter Proof-of-Concept-Exploit vor. Zusammen mit einem Sicherheitsforscher von Eset veröffentlichte er zudem ein Video, das den Angriff zeigt.

Mozilla informierte er bereits im Lauf des Sommers über seine Erkenntnisse. Das Unternehmen stopfte die Sicherheitslücke daraufhin mit Firefox 79 für Android. Nutzer sollten beispielsweise über den Play Store kontrollieren, ob sie bereits die aktuelle Version erhalten haben. Die Desktop-Version des Mozilla-Browsers war nicht betroffen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Digitale Matching-Plattform für Unternehmen und IT-Freelancer

Damit IT-Freelancer und Unternehmen einfacher zueinander finden, hat der Personaldienstleister Hays die Matching-Plattform "Tribeworks" gelauncht.

9 Stunden ago

Mit ChatGPT und Dall-E richtig starten

Kostenloses Webinar der Online-Marketing-Academy am 18.7. zum Einstieg in KI-Tools.

9 Stunden ago

Podcast: Geschäftsprozesse mit generativer KI automatisieren

Wie sich unstrukturierte Daten unter anderem für die Automatisierung von Rechnungsprozessen nutzen lassen, erklärt Ruud…

9 Stunden ago

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

2 Tagen ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

2 Tagen ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

2 Tagen ago