Android-д зориулсан Firefox дээр ноцтой протоколын хэрэгжилтэд , дотоод сүлжээн дэх сүлжээний үйлчилгээг илрүүлэхэд ашигладаг. Энэ эмзэг байдал нь ижил локал эсвэл утасгүй сүлжээнд байрладаг халдагчдад UPnP XML "LOCATION" мессежээр Firefox шалгалтын хүсэлтэд хариу өгөх боломжийг олгодог. , үүний тусламжтайгаар та хөтөч дээр дурын URI нээх эсвэл бусад програмын дуудлагыг хариуцах боломжтой.
Асуудал нь суллагдах хүртэл илэрдэг болон Android 79-д зориулсан Firefox-ын хувилбарт хасагдсан, i.e. Android-д зориулсан Firefox-ын хуучин сонгодог хувилбарууд нь эмзэг бөгөөд шинэчлэх шаардлагатай Firefox Quantum технологи дээр бүтээгдсэн GeckoView хөдөлгүүрийг ашигладаг хөтөч (Fenix) ба олон тооны сангууд . Firefox-ийн ширээний хувилбаруудад энэ асуудал нөлөөлөхгүй.
Эмзэг байдлын туршилтын хувьд мөлжлөгийн ажлын прототип. Энэхүү халдлагыг хэрэглэгчийн зүгээс ямар нэгэн үйлдэл хийхгүйгээр хийж байгаа бөгөөд Android-д зориулсан эмзэг Firefox хөтчийг мобайл төхөөрөмж дээр ажиллуулж, хохирогч нь халдагчийн SSDP сервертэй нэг дэд сүлжээнд байгаа байхад л хангалттай.
Android-д зориулсан Firefox нь дотоод сүлжээнд байгаа мультимедиа тоглуулагч, ухаалаг ТВ гэх мэт өргөн нэвтрүүлгийн төхөөрөмжүүдийг тодорхойлохын тулд SSDP мессежийг өргөн нэвтрүүлгийн горимд (олон дамжуулалт UDP) үе үе илгээдэг. Дотоод сүлжээнд байгаа бүх төхөөрөмж эдгээр мессежийг хүлээн авч, хариу илгээх чадвартай. Ихэвчлэн төхөөрөмж нь UPnP-ийг идэвхжүүлсэн төхөөрөмжийн талаарх мэдээллийг агуулсан XML файлын байршлын холбоосыг буцаадаг. Халдлага хийхдээ XML-ийн холбоосын оронд Android-д зориулсан зорилготой команд бүхий URI дамжуулж болно.
Зориулалтын командуудыг ашиглан та хэрэглэгчийг фишинг сайт руу чиглүүлэх эсвэл xpi файл руу линк дамжуулах боломжтой (хөтөч таныг нэмэлтийг суулгахыг сануулна). Халдагчийн хариу үйлдэл ямар ч байдлаар хязгаарлагдахгүй тул хэрэглэгч алдаа гаргаж, хортой багцыг суулгахын тулд дарна гэж найдаж, хөтөчийг суулгах санал эсвэл хортой сайтуудаар дүүргэхийг оролдож болно. Хөтөч дээр дурын холбоосыг нээхээс гадна бусад Android програмуудын агуулгыг боловсруулахад зорилго командыг ашиглаж болно, жишээлбэл, та имэйл клиент (URI mailto :) эсвэл дуудлага хийх интерфейсийг ажиллуулж болно. (URI утас :).
Эх сурвалж: opennet.ru