Mozilla Firefox es uno de los navegadores más utilizados por los usuarios. Esto hace que cuando surge algún problema, algún fallo o vulnerabilidad, sean muchos los que se puedan ver afectados. En este artículo nos hacemos eco de un error que afecta al navegador en el sistema operativo Android. Este fallo permitiría a un atacante dentro de la misma red Wi-Fi explotar dispositivos.
Un fallo en Firefox permite explotar dispositivos en la misma red
Este error concretamente afecta al motor SSDP del navegador Firefox. Podría permitir a un hipotético atacante explotar dispositivos Android que haya conectados en la misma red siempre y cuando tengan instalado este navegador. Además, hay que indicar que esto podría producirse sin la interacción del usuario, algo que agregar un mayor peligro.
SSDP es un protocolo basado en texto que sirve para comunicarse con dispositivos dentro de la misma red. Un atacante podría usar esta vulnerabilidad para contactar con ese equipo con Android y Firefox instalado para llevar a cabo su ataque.
Como hemos mencionado, algo que destaca a este fallo es que no requiere la interacción del usuario. Tampoco es necesario que el atacante instale algún tipo de software malicioso en el equipo de la víctima. Simplemente se requiere que el dispositivo tenga instalado Mozilla Firefox como navegador y use el sistema operativo Android.
Lo que hace la versión vulnerable de Firefox es enviar periódicamente mensajes de descubrimiento SSDP a través de multidifusión UDP en la misma red para buscar los dispositivos disponibles para la transmisión. Cualquier dispositivo que esté conectado a la misma red responde al mensaje de transmisión y proporciona una ubicación para obtener información detallada sobre el dispositivo UPnP.
El navegador Firefox intenta acceder al archivo XML para confirmar las especificaciones UPnP, donde entra en juego la vulnerabilidad. En vez de proporcionar la ubicación de un archivo XML, un atacante podría ejecutar un servidor SSDP malicioso. Podría llevar a cabo funciones no autorizadas en ese dispositivo.
Corregido con la nueva versión
Hay que indicar que este fallo fue descubierto por el investigador de seguridad Chris Moberly en la versión para Android de Firefox 79. Rápidamente informó a Mozilla y actuaron en consecuencia al corregir el problema. Los usuarios que cuenten con la última versión actualizada no podrían ser víctimas de este fallo.
Una vez más se demuestra la importancia de mantener siempre nuestros equipos actualizados con las últimas versiones. No importa el sistema operativo que estemos utilizando, el programa que sea o el equipo. Siempre debemos contar con los últimos parches y software actualizado para corregir posibles vulnerabilidades que pueda haber.
También debemos remarcar que este fallo únicamente está presente en la versión móvil de Mozilla Firefox. No afecta por tanto a equipos de escritorio y a otros sistemas operativos. Es necesario que los usuarios actualicen a Firefox 80.1.3 en caso de que cuenten con una versión anterior y así evitar este problema.
Os dejamos un artículo donde hablamos de los riesgos de seguridad de las aplicaciones móviles. Un repaso por los problemas que pueden surgir.