ใน Firefox สำหรับ Android
ปัญหาก็ปรากฏออกมาจนกว่าจะได้รับการปล่อยตัว
สำหรับการทดสอบช่องโหว่
Firefox สำหรับ Android ส่งข้อความ SSDP เป็นระยะในโหมดบรอดแคสต์ (multicast UDP) เพื่อระบุอุปกรณ์บรอดคาสติ้ง เช่น เครื่องเล่นมัลติมีเดียและสมาร์ททีวีที่อยู่ในเครือข่ายท้องถิ่น อุปกรณ์ทั้งหมดบนเครือข่ายท้องถิ่นจะได้รับข้อความเหล่านี้และสามารถตอบกลับได้ โดยปกติ อุปกรณ์จะส่งคืนลิงก์ไปยังตำแหน่งของไฟล์ XML ที่มีข้อมูลเกี่ยวกับอุปกรณ์ที่เปิดใช้งาน UPnP เมื่อทำการโจมตี แทนที่จะส่งลิงก์ไปยัง XML คุณสามารถส่ง URI ด้วยคำสั่ง Intent สำหรับ Android ได้
เมื่อใช้คำสั่ง Intent คุณสามารถเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ฟิชชิ่งหรือส่งลิงก์ไปยังไฟล์ xpi (เบราว์เซอร์จะแจ้งให้คุณติดตั้งส่วนเสริม) เนื่องจากการตอบสนองของผู้โจมตีไม่ได้ถูกจำกัดในทางใดทางหนึ่ง เขาจึงสามารถพยายามทำให้เบราว์เซอร์อดอยากและทำให้เบราว์เซอร์เต็มไปด้วยข้อเสนอการติดตั้งหรือไซต์ที่เป็นอันตราย ด้วยความหวังว่าผู้ใช้จะทำผิดพลาดและคลิกเพื่อติดตั้งแพ็คเกจที่เป็นอันตราย นอกเหนือจากการเปิดลิงก์ที่กำหนดเองในเบราว์เซอร์แล้ว คำสั่งเจตนายังสามารถใช้เพื่อประมวลผลเนื้อหาในแอปพลิเคชัน Android อื่น ๆ ได้ ตัวอย่างเช่น คุณสามารถเปิดเทมเพลตจดหมายในไคลเอนต์อีเมล (URI mailto:) หรือเปิดอินเทอร์เฟซสำหรับการโทรออก (URI โทร:)
ที่มา: opennet.ru