کمیته رکن چهارم – با سوءاستفاده از یک باگ در مرورگر فایرفاکس سیستم عامل اندروید، میتوان کاربران را وادار به دسترسی به سایتهای مخرب از جمله سایتهای فیشینگ کرد.
یکی از اقدامات کلاهبرداران این است که با راهاندازی سایتهای جعلی که شبیه به سایتهای اصلی است، به ربودن اطلاعات افراد، اغلب برای سوءاستفادههای مالی اقدام میکنند. در این شیوه که اصطلاحاً به فیشینگ معروف است، از طریق اطلاعات واردشده توسط کاربران در صفحات جعلی حسابهای بانکی قربانیان خالی میشود و کاربرانی که دارای سواد دیجیتالی کمتر هستند، یا از ابزارهای بهروزنشده استفاده میکنند، بیشتر در معرض خطر هستند و اطلاعات آنان مورد سوءاستفاده قرار میگیرند.
شرکت موزیلا به تازگی یک باگ امنیتی را در مرورگر فایرفاکس رفع کرده است که سوءاستفاده از این باگ موجب میشود تا کنترل تمام مرورگرهای فایرفاکس اندروید موجود در یک شبکه وایفای را در دست گرفته و کاربران را وادار به دسترسی به سایتهای مخرب از جمله سایتهای فیشینگ کرد. این آسیبپذیری توسط Chris Moberly که در GitLab کار میکند، شناسایی شده است.
در واقع، مولفه Simple Service Discovery Protocol فایرفاکس که به اختصار SSDP نامیده میشود، آسیبپذیر است. مولفه SSDP مکانیزمی است که فایرفاکس برای شناسایی دیگر دستگاههای موجود در شبکه جهت اشتراک و دریافت محتوا (برای مثال اشتراک ویدئو با دستگاه Roku) استفاده میکند. زمانی که مکان دستگاه شناسایی شد، مولفهSSDP فایرفاکس مکان فایل XML را که پیکربندی دستگاه در آن قرار دارد، دریافت میکند.
در نسخههای پیشین فایرفاکس میتوان دستورات Intent اندروید را در این فایل XML مخفی کرد و مرورگر فایرفاکس را وادار به اجرای این دستورات Intent کرد. دستورات Intent پیغامهایی هستند که به واسطه آنها از سیستم تقاضای انجام کار یا عملیات خاصی میشود. با استفاده از آبجکت intent میتوان بین کامپوننتهای مختلف یک برنامهکاربری و حتی کامپوننتهای نرمافزاری دیگر برنامههای کاربردی تعامل برقرار کرده و اطلاعات رد و بدل کرد. برای مثال، یک Activity میتواند Activity دیگر را جهت عکس گرفتن اجرا کند یا به فایرفاکس بگوید که وارد لینک مشخصی شود.
البته این آسیبپذیری در نسخه ۷۹ از فایرفاکس رفع شده است. بنابراین به تمام کاربرانی که از مرورگر فایرفاکس در سیستمعامل اندروید استفاده میکنند، توصیه میشود که مرورگر خود را به آخرین نسخه موجود بهروزرسانی کنند.
منبع: ایسنا