Mozilla dikabarkan telah memperbaiki bug yang dapat disalahgunakan untuk membajak semua browser Firefox untuk Android di jaringan WiFi yang sama dan memaksa pengguna untuk mengakses situs berbahaya, seperti halaman phishing.
Bug tersebut ditemukan oleh Chris Moberly, seorang peneliti keamanan Australia yang bekerja untuk GitLab.
Kerentanan ini berada di komponen SSDP Firefox. SSDP adalah singkatan dari Simple Service Discovery Protocol dan merupakan mekanisme yang digunakan Firefox untuk menemukan perangkat lain di jaringan yang sama untuk berbagi atau menerima konten (misalnya, berbagi stream video dengan perangkat Roku).
Saat perangkat ditemukan, komponen Firefox SSDP mendapatkan lokasi file XML tempat penyimpanan konfigurasi perangkat tersebut.
Namun, Moberly menemukan bahwa di versi Firefox yang lebih lawas, kita dapat menyembunyikan perintah “intent” Android dalam XML tersebut dan meminta browser Firefox menjalankan “intent”, yang bisa menjadi perintah biasa seperti memberi tahu Firefox untuk mengakses tautan.
Untuk lebih memahami bagaimana bug ini dapat disalahgunakan, bayangkan skenario di mana seorang peretas masuk ke bandara atau mal, menghubungkan ke jaringan WiFi publik, dan kemudian meluncurkan skrip di laptop mereka yang melakukan spam jaringan dengan paket SSDP berbahaya.
Setiap pemilik Android yang menggunakan browser Firefox untuk menavigasi web selama serangan semacam ini akan membuat browser selulernya dibajak dan digiring ke situs berbahaya, atau dipaksa untuk memasang ekstensi Firefox berbahaya.
Skenario lainnya adalah jika penyerang menargetkan router WiFi yang rentan. Penyerang dapat memanfaatkan eksploitasi untuk mengambil alih router, dan kemudian mengirim spam ke jaringan internal perusahaan dan memaksa karyawan untuk mengotentikasi ulang pada halaman phishing.
Awal pekan ini, Moberly menerbitkan kode proof-of-concept yang dapat digunakan untuk melakukan serangan semacam itu.
Found a neat little Firefox for Android bug. Current version is not vulnerable, please make sure you are up to date. 🙂 https://t.co/p31XPGBsze pic.twitter.com/coG3tcMiAI
— initstring (@init_string) September 15, 2020
Exploitation of LAN vulnerability found in Firefox for Android
I tested this PoC exploit on 3 devices on same wifi, it worked pretty well.
I was able to open custom URL on every smartphone using vulnerable Firefox (68.11.0 and below) found by @init_string https://t.co/c7EbEaZ6Yx pic.twitter.com/lbQA4qPehq— Lukas Stefanko (@LukasStefanko) September 18, 2020
Baca Juga: “Peneliti Temukan Kerentanan di 306 Aplikasi Android Populer“
Moberly mengatakan dia melaporkan bug tersebut ke Mozilla pada awal musim panas tahun ini.
Bug telah diperbaiki di Firefox 79; namun, banyak pengguna mungkin tidak menjalankan rilis terbaru. Firefox untuk versi desktop tidak terpengaruh.
Dihubungi untuk memberikan komentar, juru bicara Mozilla merekomendasikan agar pengguna meningkatkan ke versi terbaru Firefox untuk Android agar aman dari serangan semacam ini.
