Concernant les versions Android, Firefox a subi une vulnérabilité importante : en détournant l’intent, un système de commandes pour permettre d’élaborer ou finaliser des tâches, le navigateur pouvait potentiellement servir de vecteur pour transmettre, à l’utilisateur et à distance, un code malveillant tel qu’un malware, par exemple…
Son découvreur, Chris Moberly, n’a eu qu’à chercheur un peu, en se connectant au réseau Wi-Fi (le même que la victime) : “un attaquant peut exécuter un serveur SSDP malveillant qui répond par un message spécialement conçu pointant vers un URI d’intention Android. Ensuite, cette intention sera invoquée par l’application Firefox elle-même […] la vulnérabilité ressemble à RCE (exécution de commande à distance) en cela qu’un attaquant distant (sur le même réseau WiFi) peut déclencher le terminal pour qu’il exécute des fonctions non autorisées sans aucune interaction de la part de l’utilisateur. Cependant, cette exécution n’est pas totalement arbitraire du fait qu’elle ne peut appeler que des intentions d’application prédéfinies“.
Found a neat little Firefox for Android bug. Current version is not vulnerable, please make sure you are up to date.
https://t.co/p31XPGBsze pic.twitter.com/coG3tcMiAI
— initstring (@init_string) September 15, 2020
De nombreuses possibilités sont évoquées, en finalité : phishing, installation d’un malware (lien direct XPI) voire une réplication vers un autre logiciel ou une autre application pour étendre la contagiosité. Bien évidemment, depuis la version 79 – pensez à vérifier votre version de Firefox en cliquant sur “Aide” puis “A propos de Firefox”…A veiller !
Source : Chris Moberly (GitLab) – 23 Septembre 2020 – Firefox 79 (versions antérieures) : détournement distant depuis l’intent sous la version Android.