Le chercheur en sécurité Chris Moberly vient de révéler une faille particulièrement énorme qui existait dans le navigateur Firefox pour Android. Elle permettait à un pirate de prendre le contrôle du smartphone de façon automatique et à distance, sans aucune interaction avec l’utilisateur. Il suffisait d’être sur le même réseau local.
L’origine de ce problème se situait dans la manière dont Firefox cherche à se connecter à des écrans tiers par UPnP. Pour trouver ces appareils, le navigateur envoie régulièrement des messages de découverte de type SSDP (Simple Service Discovery Protocol). Le terminal répond en indiquant le chemin vers le fichier XML qui décrit son service UPnP.
Mais grâce à cette faille, il était possible d’insérer une adresse de type « Android Intent », qui permet de lancer automatiquement des applications. Il suffisait donc de placer un serveur SSDP malveillant sur un réseau, et tous les smartphones obéissaient au doigt et à l’œil. Cette faille a été colmatée avec la version Firefox pour Android 79.
Source: Chris Moberly
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
