Android: Bug ermöglichte die Firefox-Übernahme

Ältere Versionen der Firefox-App für Android enthalten einen Bug, der es Angreifern ermöglicht, den Browser zu übernehmen. Diese können dann Remote Code-Angriffe durchführen.

The Hacker News hat das Ganze in diesem Beitrag aufgegriffen. Der ESET Sicherheitsforscher Luaks Stefanko hat den Angriff bereits am 18. September 2020 in einem Video demonstriert und auf Twitter online gestellt.

(Firefox for Androi takeover, Zum Anzeigen klicken)

Die Schwachstelle wurde von Chris Moberly entdeckt und auf GitHub beschrieben. Moberly gibt an, dass die SSDP-Engine in Firefox für Android (68.11.0 und niedriger) so ausgetrickst werden kann, dass sie Android Intent-URIs ohne Benutzerinteraktion auslöst. Diese Schwachstelle lässt sich von Angreifern im selben WiFi-Netzwerk ausnutzen, um Anwendungen auf dem Zielgerät plötzlich und ohne die Erlaubnis der Benutzer zu starten und Aktivitäten auszuführen.

Das Angriffsopfer muss lediglich die Firefox-App in einer verwundbaren Form auf seinem Android-Gerät laufen haben. Nutzer müssen nicht auf bösartige Websites zugreifen oder auf bösartige Links klicken. Es ist keine Installation von Man-in-the-Middle- oder bösartigen Apps erforderlich. Es reicht, sich beispielsweise mit dem Android-Gerät am WiFi eines Cafés anzumelden. Ein Angreifer, der im gleichen WiFi-Netzwerk eingebunden ist, könnte dann Anwendungs-URIs kontrolliert auf dem Gerät des Opfers starten.

Chris Moberly hat diesen Fehler entdeckt, als die neueste Version von Firefox Mobile v79 weltweit ausgerollt wurde. Zu diesem Zeitpunkt wurde im Google Play Store noch eine anfällige Version angeboten, allerdings nur für kurze Zeit. Moberly hat das Problem zur Sicherheit direkt an Mozilla gemeldet. Die Mozilla-Entwickler haben sofort reagiert und die Schwachstelle beseitigt. Technische Details zur Schwachstelle, die in aktuellen Versionen der Android Firefox-App beseitigt ist, sind auf GitHub beschrieben.