Un expert en sécurité a découvert qu'un pirate pouvait attaquer à distance des smartphones sous Android connectés au même réseau Wi-Fi. La faille se cache dans la version mobile de Firefox, et Mozilla l'a vite corrigée.


au sommaire


    Si vous utilisez le navigateur Firefox sous AndroidAndroid, dépêchez-vous de le mettre à jour via le Play Store, et installez la version 79. C'est même Mozilla qui le recommande tant la faille est grave. Découverte par Chris Moberly, un expert en sécurité australien travaillant pour GitLab, cette vulnérabilité permet carrément de mettre la main sur les navigateurs d'utilisateurs dans un réseau Wi-Fi public.

    Par exemple, vous surfez sur Internet avec votre mobilemobile dans une gare ou un aéroport, et un pirate peut afficher des pages non sollicitées sur votre navigateur, et ainsi tenter de vous piéger en lançant l'installation d'un programme ou en affichant une page de phishing. L'origine de cette faille de sécurité est à trouver dans le composant Firefox SSDP (Simple Service DiscoveryDiscovery Protocol).

    Une porte ouverte pour des attaques à distance

    C'est ce protocole, propre au navigateur de Mozilla, qui permet de partager ou de recevoir du contenu via le navigateur sur un réseau commun. C'est un peu comme AirPlay chez AppleApple, mais à l'intérieur même du navigateur, et c'est ce composant qui se charge de scanner les appareils à proximité et de leur envoyer l'URL du flux à partager.

    Sauf que cet expert a découvert que Firefox ne validait pas l'URL envoyée par ce protocole, et qu'un pirate pouvait donc créer un serveur malveillant et exécuter à distance des commandes sur les navigateurs présents sur le même réseau Wi-FiWi-Fi. Une attaque qui pourrait tout aussi bien fonctionner sur un réseau d'entreprise. Ce n'est pas la première fois que Firefox SSDP est mis en cause puisqu'en 2014, il avait permis à des hackers de lancer des attaques DDoS sur des routeursrouteurs.