Androiderako Firefoxen
Arazoa askatu arte agertzen da
Ahultasun probak egiteko
Android-erako Firefoxek aldizka SSDP mezuak bidaltzen ditu difusio moduan (multicast UDP) sare lokalean dauden multimedia erreproduzigailuak eta telebista adimendunak bezalako difusio-gailuak identifikatzeko. Sare lokaleko gailu guztiek jasotzen dituzte mezu hauek eta erantzun bat bidaltzeko gaitasuna dute. Normalean, gailuak esteka bat itzultzen du UPnP gaitutako gailuari buruzko informazioa duen XML fitxategi baten kokapenari. Eraso bat egitean, XML-rako estekaren ordez, URI bat pasa dezakezu Android-erako intentzio komandoekin.
Asmo komandoak erabiliz, erabiltzailea phishing guneetara birbideratu dezakezu edo xpi fitxategi baterako esteka pasa dezakezu (arakatzaileak gehigarria instalatzeko eskatuko dizu). Erasotzailearen erantzunak inola ere mugatzen ez direnez, nabigatzailea instalazio-eskaintzaz edo gune gaiztoz gainezka egiten saia daiteke, erabiltzaileak akatsen bat egin eta pakete gaiztoa instalatzeko klik egingo duelakoan. Arakatzailean bertan esteka arbitrarioak irekitzeaz gain, intent komandoak erabil daitezke beste Android aplikazioetako edukia prozesatzeko, adibidez, gutun-txantiloi bat ireki dezakezu posta elektronikoko bezero batean (URI mailto:) edo dei bat egiteko interfaze bat abiarazi. (URI tel:).
Iturria: opennet.ru