Android కోసం Firefoxలో తీవ్రమైన ప్రోటోకాల్ అమలులో , స్థానిక నెట్వర్క్లో నెట్వర్క్ సేవలను కనుగొనడానికి ఉపయోగించబడుతుంది. దుర్బలత్వం అదే స్థానిక లేదా వైర్లెస్ నెట్వర్క్లో ఉన్న దాడి చేసే వ్యక్తిని Firefox ప్రోబ్ అభ్యర్థనలకు UPnP XML "LOCATION" సందేశంతో ప్రతిస్పందించడానికి అనుమతిస్తుంది , దీనితో మీరు బ్రౌజర్లో ఏకపక్ష URIని తెరవవచ్చు లేదా ఇతర అప్లికేషన్ల హ్యాండ్లర్లకు కాల్ చేయవచ్చు.
విడుదల వరకు సమస్య స్వయంగా వ్యక్తమవుతుంది మరియు Android 79 కోసం Firefox సంస్కరణలో తొలగించబడింది, అనగా. Android కోసం Firefox యొక్క పాత క్లాసిక్ ఎడిషన్లు హాని కలిగిస్తాయి మరియు దీనికి అప్గ్రేడ్ చేయడం అవసరం బ్రౌజర్ (ఫెనిక్స్), ఇది ఫైర్ఫాక్స్ క్వాంటం టెక్నాలజీస్ మరియు లైబ్రరీల సెట్పై నిర్మించిన గెక్కో వ్యూ ఇంజిన్ను ఉపయోగిస్తుంది . Firefox యొక్క డెస్క్టాప్ వెర్షన్లు ఈ సమస్య వల్ల ప్రభావితం కావు.
దుర్బలత్వ పరీక్ష కోసం దోపిడీ యొక్క పని నమూనా. వినియోగదారు నుండి ఎటువంటి చర్య లేకుండానే దాడి జరుగుతుంది; Android కోసం హాని కలిగించే Firefox బ్రౌజర్ మొబైల్ పరికరంలో రన్ అవుతోంది మరియు బాధితుడు దాడి చేసేవారి SSDP సర్వర్ వలె అదే సబ్నెట్లో ఉంటే సరిపోతుంది.
స్థానిక నెట్వర్క్లో ఉన్న మల్టీమీడియా ప్లేయర్లు మరియు స్మార్ట్ టీవీల వంటి ప్రసార పరికరాలను గుర్తించడానికి Android కోసం Firefox కాలానుగుణంగా SSDP సందేశాలను ప్రసార మోడ్లో (మల్టీకాస్ట్ UDP) పంపుతుంది. స్థానిక నెట్వర్క్లోని అన్ని పరికరాలు ఈ సందేశాలను స్వీకరిస్తాయి మరియు ప్రతిస్పందనను పంపగల సామర్థ్యాన్ని కలిగి ఉంటాయి. సాధారణంగా, పరికరం UPnP-ప్రారంభించబడిన పరికరం గురించిన సమాచారాన్ని కలిగి ఉన్న XML ఫైల్ స్థానానికి లింక్ను అందిస్తుంది. దాడి చేస్తున్నప్పుడు, XMLకి లింక్కు బదులుగా, మీరు Android కోసం ఇంటెంట్ ఆదేశాలతో URIని పాస్ చేయవచ్చు.
ఇంటెంట్ ఆదేశాలను ఉపయోగించి, మీరు వినియోగదారుని ఫిషింగ్ సైట్లకు దారి మళ్లించవచ్చు లేదా xpi ఫైల్కి లింక్ను పంపవచ్చు (యాడ్-ఆన్ను ఇన్స్టాల్ చేయమని బ్రౌజర్ మిమ్మల్ని అడుగుతుంది). దాడి చేసేవారి ప్రతిస్పందనలు ఏ విధంగానూ పరిమితం కానందున, వినియోగదారు పొరపాటు చేసి హానికరమైన ప్యాకేజీని ఇన్స్టాల్ చేయడానికి క్లిక్ చేస్తారనే ఆశతో అతను ఇన్స్టాలేషన్ ఆఫర్లు లేదా హానికరమైన సైట్లతో బ్రౌజర్ను ఆకలితో నింపడానికి ప్రయత్నించవచ్చు. బ్రౌజర్లోనే ఏకపక్ష లింక్లను తెరవడంతో పాటు, ఇతర Android అప్లికేషన్లలో కంటెంట్ను ప్రాసెస్ చేయడానికి ఇంటెంట్ కమాండ్లను ఉపయోగించవచ్చు, ఉదాహరణకు, మీరు ఇమెయిల్ క్లయింట్లో లెటర్ టెంప్లేట్ను తెరవవచ్చు (URI mailto:) లేదా కాల్ చేయడానికి ఇంటర్ఫేస్ను ప్రారంభించవచ్చు (URI టెల్:).
మూలం: opennet.ru