Android க்கான Firefox இல் உள்ள பாதிப்பு, இது பகிரப்பட்ட Wi-Fi மூலம் உலாவியைக் கட்டுப்படுத்த அனுமதிக்கிறது

Android க்கான Firefox இல் அடையாளம் காணப்பட்டது தீவிரமான பாதிப்பு நெறிமுறை செயல்படுத்தலில் எஸ்.எஸ்.டி.பி., உள்ளூர் நெட்வொர்க்கில் நெட்வொர்க் சேவைகளைக் கண்டறியப் பயன்படுகிறது. UPnP XML "LOCATION" செய்தியுடன் பயர்பாக்ஸ் ஆய்வுக் கோரிக்கைகளுக்குப் பதிலளிக்க, அதே உள்ளூர் அல்லது வயர்லெஸ் நெட்வொர்க்கில் உள்ள தாக்குதலை அனுமதிக்கும் பாதிப்பு உள்நோக்கம் கட்டளைகள், நீங்கள் உலாவியில் தன்னிச்சையான URI ஐத் திறக்கலாம் அல்லது பிற பயன்பாடுகளின் ஹேண்ட்லர்களை அழைக்கலாம்.

பிரச்சனை வெளிவரும் வரை வெளிப்படும் Android 68.11.0க்கான Firefox மற்றும் Android 79க்கான Firefox பதிப்பில் நீக்கப்பட்டது, அதாவது. ஆண்ட்ராய்டுக்கான பயர்பாக்ஸின் பழைய கிளாசிக் பதிப்புகள் பாதிக்கப்படக்கூடியவை மற்றும் மேம்படுத்தப்பட வேண்டும் புதிய பதிப்பு உலாவி (ஃபெனிக்ஸ்), இது ஃபயர்பாக்ஸ் குவாண்டம் தொழில்நுட்பங்கள் மற்றும் நூலகங்களின் தொகுப்பில் கட்டமைக்கப்பட்ட கெக்கோவியூ இயந்திரத்தைப் பயன்படுத்துகிறது. Mozilla Android கூறுகள். பயர்பாக்ஸின் டெஸ்க்டாப் பதிப்புகள் இந்த சிக்கலால் பாதிக்கப்படாது.

பாதிப்பு சோதனைக்கு தயார் சுரண்டலின் வேலை முன்மாதிரி. பயனரின் தரப்பில் எந்த நடவடிக்கையும் இல்லாமல் தாக்குதல் மேற்கொள்ளப்படுகிறது; ஆண்ட்ராய்டுக்கான பாதிக்கப்படக்கூடிய பயர்பாக்ஸ் உலாவி மொபைல் சாதனத்தில் இயங்கினால் போதும், பாதிக்கப்பட்டவர் தாக்குபவர்களின் SSDP சேவையகத்தின் அதே சப்நெட்டில் இருந்தால் போதும்.

உள்ளூர் நெட்வொர்க்கில் இருக்கும் மல்டிமீடியா பிளேயர்கள் மற்றும் ஸ்மார்ட் டிவிகள் போன்ற ஒளிபரப்பு சாதனங்களை அடையாளம் காண Android க்கான Firefox அவ்வப்போது SSDP செய்திகளை ஒளிபரப்பு பயன்முறையில் (மல்டிகாஸ்ட் UDP) அனுப்புகிறது. உள்ளூர் நெட்வொர்க்கில் உள்ள அனைத்து சாதனங்களும் இந்த செய்திகளைப் பெறுகின்றன மற்றும் பதிலை அனுப்பும் திறனைக் கொண்டுள்ளன. பொதுவாக, சாதனமானது UPnP-இயக்கப்பட்ட சாதனத்தைப் பற்றிய தகவலைக் கொண்ட XML கோப்பின் இருப்பிடத்திற்கான இணைப்பை வழங்கும். தாக்குதலை மேற்கொள்ளும் போது, ​​XMLக்கான இணைப்பிற்குப் பதிலாக, ஆண்ட்ராய்டுக்கான உத்தேச கட்டளைகளுடன் URI ஐ அனுப்பலாம்.

உள்நோக்கக் கட்டளைகளைப் பயன்படுத்தி, பயனரை ஃபிஷிங் தளங்களுக்குத் திருப்பிவிடலாம் அல்லது xpi கோப்பிற்கான இணைப்பை அனுப்பலாம் (உலாவி செருகு நிரலை நிறுவும்படி கேட்கும்). தாக்குபவரின் பதில்கள் எந்த வகையிலும் மட்டுப்படுத்தப்படவில்லை என்பதால், பயனர் தவறு செய்து தீங்கிழைக்கும் தொகுப்பை நிறுவ கிளிக் செய்வார் என்ற நம்பிக்கையில், நிறுவல் சலுகைகள் அல்லது தீங்கிழைக்கும் தளங்கள் மூலம் உலாவியை பட்டினி போட்டு நிரப்ப முயற்சிக்கலாம். உலாவியிலேயே தன்னிச்சையான இணைப்புகளைத் திறப்பதுடன், பிற ஆண்ட்ராய்டு பயன்பாடுகளில் உள்ளடக்கத்தைச் செயலாக்க உள்நோக்கக் கட்டளைகளைப் பயன்படுத்தலாம், எடுத்துக்காட்டாக, மின்னஞ்சல் கிளையண்டில் (URI mailto:) கடித டெம்ப்ளேட்டைத் திறக்கலாம் அல்லது அழைப்பிற்கான இடைமுகத்தைத் தொடங்கலாம். (URI டெல்:).

ஆதாரம்: opennet.ru