Katika Firefox kwa Android serious katika utekelezaji wa itifaki , inayotumika kugundua huduma za mtandao kwenye mtandao wa ndani. Athari hii inamruhusu mshambulizi aliye kwenye mtandao ule ule wa ndani au usiotumia waya kujibu maombi ya uchunguzi wa Firefox kwa ujumbe wa "LOCATION" wa XML wa UPnP na , ambayo unaweza kufungua URI ya kiholela kwenye kivinjari au piga simu vidhibiti vya programu zingine.
Tatizo linajidhihirisha hadi kutolewa na kuondolewa katika toleo la Firefox kwa Android 79, i.e. matoleo ya zamani ya Firefox kwa Android yako katika hatari na yanahitaji kusasishwa kivinjari (Fenix), kinachotumia injini ya GeckoView, iliyojengwa kwa teknolojia ya Firefox Quantum, na seti ya maktaba. . Matoleo ya Desktop ya Firefox hayaathiriwi na suala hili.
Kwa majaribio ya hatari mfano wa kufanya kazi wa unyonyaji. Shambulio hilo hufanywa bila hatua yoyote kwa upande wa mtumiaji; inatosha kuwa kivinjari cha Firefox cha Android kinafanya kazi kwenye kifaa cha rununu na kwamba mwathirika yuko kwenye mtandao mdogo sawa na seva ya SSDP ya mshambuliaji.
Firefox ya Android hutuma ujumbe wa SSDP mara kwa mara katika hali ya utangazaji (UDP ya upeperushaji anuwai) ili kutambua vifaa vya utangazaji kama vile vichezeshi vya media titika na runinga mahiri zilizopo kwenye mtandao wa karibu. Vifaa vyote kwenye mtandao wa ndani hupokea ujumbe huu na vina uwezo wa kutuma jibu. Kwa kawaida, kifaa hurejesha kiungo kwenye eneo la faili ya XML iliyo na taarifa kuhusu kifaa kilichowezeshwa na UPnP. Unapofanya shambulizi, badala ya kiungo cha XML, unaweza kupitisha URI yenye amri za kukusudia za Android.
Kwa kutumia maagizo ya kuratibu, unaweza kuelekeza mtumiaji upya kwa tovuti za kuhadaa ili kupata maelezo ya kibinafsi au kupitisha kiungo cha faili ya xpi (kivinjari kitakuomba usakinishe programu jalizi). Kwa kuwa majibu ya mshambuliaji hayana kikomo kwa njia yoyote, anaweza kujaribu kufa na njaa na kufurika kivinjari na matoleo ya usakinishaji au tovuti hasidi kwa matumaini kwamba mtumiaji atafanya makosa na kubofya ili kusakinisha kifurushi kibaya. Mbali na kufungua viungo vya kiholela kwenye kivinjari chenyewe, amri za kusudi zinaweza kutumika kuchakata yaliyomo kwenye programu zingine za Android, kwa mfano, unaweza kufungua kiolezo cha barua katika mteja wa barua pepe (URI mailto:) au kuzindua kiolesura cha kupiga simu. (URI tel:).
Chanzo: opennet.ru