ಹಂಚಿದ Wi-Fi ಮೂಲಕ ಬ್ರೌಸರ್ ಅನ್ನು ನಿಯಂತ್ರಿಸಲು ಅನುಮತಿಸುವ Android ಗಾಗಿ Firefox ನಲ್ಲಿನ ದುರ್ಬಲತೆ

Android ಗಾಗಿ Firefox ನಲ್ಲಿ ಗುರುತಿಸಲಾಗಿದೆ ಗಂಭೀರ ದುರ್ಬಲತೆ ಪ್ರೋಟೋಕಾಲ್ ಅನುಷ್ಠಾನದಲ್ಲಿ ಎಸ್‌ಎಸ್‌ಡಿಪಿ, ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ನೆಟ್‌ವರ್ಕ್ ಸೇವೆಗಳನ್ನು ಅನ್ವೇಷಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ದುರ್ಬಲತೆಯು ಅದೇ ಸ್ಥಳೀಯ ಅಥವಾ ವೈರ್‌ಲೆಸ್ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿರುವ ಆಕ್ರಮಣಕಾರರಿಗೆ UPnP XML "LOCATION" ಸಂದೇಶದೊಂದಿಗೆ Firefox ತನಿಖೆಯ ವಿನಂತಿಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ಉದ್ದೇಶ ಆಜ್ಞೆಗಳು, ಇದರೊಂದಿಗೆ ನೀವು ಬ್ರೌಸರ್‌ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ URI ಅನ್ನು ತೆರೆಯಬಹುದು ಅಥವಾ ಇತರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಹ್ಯಾಂಡ್ಲರ್‌ಗಳಿಗೆ ಕರೆ ಮಾಡಬಹುದು.

ಬಿಡುಗಡೆಯ ತನಕ ಸಮಸ್ಯೆ ಸ್ವತಃ ಪ್ರಕಟವಾಗುತ್ತದೆ Android 68.11.0 ಗಾಗಿ Firefox ಮತ್ತು Android 79 ಗಾಗಿ Firefox ನ ಆವೃತ್ತಿಯಲ್ಲಿ ತೆಗೆದುಹಾಕಲಾಗಿದೆ, ಅಂದರೆ. ಆಂಡ್ರಾಯ್ಡ್‌ಗಾಗಿ ಫೈರ್‌ಫಾಕ್ಸ್‌ನ ಹಳೆಯ ಕ್ಲಾಸಿಕ್ ಆವೃತ್ತಿಗಳು ದುರ್ಬಲವಾಗಿರುತ್ತವೆ ಮತ್ತು ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡುವ ಅಗತ್ಯವಿದೆ ಹೊಸ ಆವೃತ್ತಿ ಬ್ರೌಸರ್ (ಫೆನಿಕ್ಸ್), ಇದು ಫೈರ್‌ಫಾಕ್ಸ್ ಕ್ವಾಂಟಮ್ ತಂತ್ರಜ್ಞಾನಗಳಲ್ಲಿ ನಿರ್ಮಿಸಲಾದ ಗೆಕ್ಕೊವ್ಯೂ ಎಂಜಿನ್ ಮತ್ತು ಲೈಬ್ರರಿಗಳ ಸೆಟ್ ಅನ್ನು ಬಳಸುತ್ತದೆ ಮೊಜಿಲ್ಲಾ ಆಂಡ್ರಾಯ್ಡ್ ಘಟಕಗಳು. ಫೈರ್‌ಫಾಕ್ಸ್‌ನ ಡೆಸ್ಕ್‌ಟಾಪ್ ಆವೃತ್ತಿಗಳು ಈ ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿಲ್ಲ.

ದುರ್ಬಲತೆ ಪರೀಕ್ಷೆಗಾಗಿ ತಯಾರಾದ ಶೋಷಣೆಯ ಕೆಲಸದ ಮೂಲಮಾದರಿ. ಬಳಕೆದಾರರ ಕಡೆಯಿಂದ ಯಾವುದೇ ಕ್ರಮವಿಲ್ಲದೆ ದಾಳಿಯನ್ನು ನಡೆಸಲಾಗುತ್ತದೆ; Android ಗಾಗಿ ದುರ್ಬಲವಾದ ಫೈರ್‌ಫಾಕ್ಸ್ ಬ್ರೌಸರ್ ಮೊಬೈಲ್ ಸಾಧನದಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದ್ದರೆ ಮತ್ತು ಬಲಿಪಶು ಆಕ್ರಮಣಕಾರರ SSDP ಸರ್ವರ್‌ನಂತೆಯೇ ಅದೇ ಸಬ್‌ನೆಟ್‌ನಲ್ಲಿದ್ದರೆ ಸಾಕು.

ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿರುವ ಮಲ್ಟಿಮೀಡಿಯಾ ಪ್ಲೇಯರ್‌ಗಳು ಮತ್ತು ಸ್ಮಾರ್ಟ್ ಟಿವಿಗಳಂತಹ ಪ್ರಸಾರ ಸಾಧನಗಳನ್ನು ಗುರುತಿಸಲು Android ಗಾಗಿ Firefox ನಿಯತಕಾಲಿಕವಾಗಿ SSDP ಸಂದೇಶಗಳನ್ನು ಪ್ರಸಾರ ಮೋಡ್‌ನಲ್ಲಿ (ಮಲ್ಟಿಕಾಸ್ಟ್ UDP) ಕಳುಹಿಸುತ್ತದೆ. ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿರುವ ಎಲ್ಲಾ ಸಾಧನಗಳು ಈ ಸಂದೇಶಗಳನ್ನು ಸ್ವೀಕರಿಸುತ್ತವೆ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಕಳುಹಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿವೆ. ಸಾಮಾನ್ಯವಾಗಿ, ಸಾಧನವು UPnP-ಸಕ್ರಿಯಗೊಳಿಸಿದ ಸಾಧನದ ಕುರಿತು ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿರುವ XML ಫೈಲ್‌ನ ಸ್ಥಳಕ್ಕೆ ಲಿಂಕ್ ಅನ್ನು ಹಿಂತಿರುಗಿಸುತ್ತದೆ. ಆಕ್ರಮಣವನ್ನು ನಡೆಸುವಾಗ, XML ಗೆ ಲಿಂಕ್ ಬದಲಿಗೆ, ನೀವು Android ಗಾಗಿ ಇಂಟೆಂಟ್ ಕಮಾಂಡ್‌ಗಳೊಂದಿಗೆ URI ಅನ್ನು ರವಾನಿಸಬಹುದು.

ಇಂಟೆಂಟ್ ಕಮಾಂಡ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು, ನೀವು ಬಳಕೆದಾರರನ್ನು ಫಿಶಿಂಗ್ ಸೈಟ್‌ಗಳಿಗೆ ಮರುನಿರ್ದೇಶಿಸಬಹುದು ಅಥವಾ xpi ಫೈಲ್‌ಗೆ ಲಿಂಕ್ ಅನ್ನು ರವಾನಿಸಬಹುದು (ಬ್ರೌಸರ್ ಆಡ್-ಆನ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ನಿಮ್ಮನ್ನು ಕೇಳುತ್ತದೆ). ಆಕ್ರಮಣಕಾರರ ಪ್ರತಿಕ್ರಿಯೆಗಳು ಯಾವುದೇ ರೀತಿಯಲ್ಲಿ ಸೀಮಿತವಾಗಿಲ್ಲದಿರುವುದರಿಂದ, ಬಳಕೆದಾರರು ತಪ್ಪು ಮಾಡುತ್ತಾರೆ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ಕ್ಲಿಕ್ ಮಾಡುತ್ತಾರೆ ಎಂಬ ಭರವಸೆಯಲ್ಲಿ ಅವರು ಅನುಸ್ಥಾಪನ ಕೊಡುಗೆಗಳು ಅಥವಾ ದುರುದ್ದೇಶಪೂರಿತ ಸೈಟ್‌ಗಳೊಂದಿಗೆ ಬ್ರೌಸರ್ ಅನ್ನು ಹಸಿವಿನಿಂದ ತುಂಬಲು ಪ್ರಯತ್ನಿಸಬಹುದು. ಬ್ರೌಸರ್‌ನಲ್ಲಿಯೇ ಅನಿಯಂತ್ರಿತ ಲಿಂಕ್‌ಗಳನ್ನು ತೆರೆಯುವುದರ ಜೊತೆಗೆ, ಇತರ Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ವಿಷಯವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಇಂಟೆಂಟ್ ಆಜ್ಞೆಗಳನ್ನು ಬಳಸಬಹುದು, ಉದಾಹರಣೆಗೆ, ನೀವು ಇಮೇಲ್ ಕ್ಲೈಂಟ್‌ನಲ್ಲಿ ಅಕ್ಷರದ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ತೆರೆಯಬಹುದು (URI mailto :) ಅಥವಾ ಕರೆ ಮಾಡಲು ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಬಹುದು (URI ದೂರವಾಣಿ:).

ಮೂಲ: opennet.ru