Poważna luka w Firefoksie dla Androida

Przeglądarka internetowa w wypadku urządzenia mobinego takiego jak smartfon i tablet to aplikacja bardzo ważna, w końcu to właśnie dzięki niej użytkownik jest w stanie „konsumować” treści różnego typu, zdobywać informacje, a także wymieniać się opiniami. Nic więc dziwnego w tym, że dużą popularnością cieszą się aplikacje znane z dekstopów – Opera, Chrome, a także Firefox. Niestety, czasami bywa, że jakiś program może narazić na nas niebezpieczeństwo. Tak jest z obecnie z Firefoksem dla Androida.

Zgłoszona kilka dni temu w serwisie Inj3ct0r luka odsłania słabość pewnego mechanizmu tej przeglądarki. Okazuje się bowiem, że w przeciwieństwie do konkurencyjnych rozwiązań, Firefox dla Androida wykonuje automatycznie domyślne akcje dla pobieranych plików. Gdzie leży problem? Jeżeli pobieranym plikiem jest aplikacja apk, automatycznie zostaje uruchomiony jej instalator. Jeżeli to plik tekstowy, automatycznie zostaje otwarty w odpowiedniej aplikacji domyślnej do jego obsługi itd. Pozwala to na wykonanie ataku na różne aplikacje przy użyciu exploitów. Do jego przeprowadzenia wystarczy jedynie serwer www udostępniający szkodliwe pliki.

Przy pewnej dozie socjotechniki, pozwala to atakującemu stworzyć odpowiednio spreparowaną aplikację, a następnie zachęcić użytkownika do wejścia pod wskazany adres internetowy. Jest jednak pewien haczyk – ustawienia systemowe muszą pozwalać na instalowanie aplikacji z nieznanych źródeł. Atakujący będzie musiał więc przekonać ofiarę i do tego. Jeżeli potencjalna ofiara jest osobą świadomą i rozważną, atak nie powinien się udać. W innym wypadku sugerujemy jednak użycie innej przeglądarki, która domyślnie nie uruchamia pobieranych plików.

Co ciekawe, ta sama przeglądarka zupełnie odwrotnie zachowuje się w wypadku witryn internetowych związanych z aplikacjami zainstalowanymi na urządzeniu: jeżeli z jej poziomu przejdziemy pod link np. do aplikacji z Google Play, to przeciwnie do oczekiwań zobaczymy witrynę. Nie zostanie zasugerowane otwarcie jej w aplikacji do obsługi sklepu. Jest to nieintuicyjne i niewygodne rozwiązanie. Firefox dla Androida rozwija się i z wersji na wersję przynosi cieszące oko zmiany. Przed programistami z Mozilli jest jednak jeszcze pewna droga do przebycia.