Firefox Per Android: falla di sicurezza permette l’installazione di applicazioni maligne

12 settembre 201313 commenti
Le ultime versioni di Firefox per Android hanno un'enorme falla per quanto riguarda la sicurezza del dispositivo. Firefox infatti, permette il download di qualsiasi file, senza che venga notificato all'utente, e una volta terminato il download, questo verrà aperto con l'applicazione di default in base all'estensione del file. Qualsiasi server quindi, potrebbe fare in modo che l'applicazione scarichi e installi il pacchetto, magari facendo credere all'utente che sia un update dell'applicazione.

Firefox per Android, attualmente, non chiede alcuna conferma per il download dei files dal web, inoltre, una volta terminato il download, il browser tenterà di aprire il file con l’applicazione impostata come default, basandosi sull’estensione del pacchetto scaricato. Fondamentalmente, quindi, qualsiasi server potrebbe inviare una richiesta di download a Firefox e fare in modo che questo esegua il download. L’exploit in azione potete vederlo nel video a fine articolo, e , in questo caso, viene utilizzato un apk camuffato da update.

Va anche sottolineato che, perchè il procedimento “vada a buon fine” , l’utente deve aver abilitato nelle impostazioni, l’installazione di applicazioni provenienti da “Origini sconosciute“. In caso contrario nessun apk potrà essere installato se non proveniente dal PlayStore. Altro punto fondamentale, per fare in modo che l’applicazione maligna venga installata, sarà necessario utilizzare il PackageInstaller nativo.

Considerando tutte queste variabili e restrizioni per fare in modo che l’applicazione venga installata, l’unico vero problema da risolvere resta in Firefox. Nel momento in cui il server invia la richiesta di download, Firefox dovrebbe notificare l’utente e lasciare che sia questo a decidere se scaricare il file o meno, e soprattutto, dovrebbe essere rimossa la funzione di apertura automatica del file al termine del download. Sarà poi l’utente, dall’applicazione “Download”, o cliccando sulla notifica, ad aprire il file scaricato.

  • Pingback: Firefox Per Android: falla di sicurezza permette l’installazione di applicazioni maligne | Notizie, guide e news quotidiane!()

  • dario

    più che una falla nel codice mi sembra una grave leggerezza da parte degli sviluppatori di firefox… come ti viene in mente di consentire download di files da una pagina web senza notificare nulla e aprendo in automatico il file? follia.

    • StriderWhite

      Decisamente…comunque quella del download di apk in automatico visitando certi siti mi è capitato qualche volta, ma per fortuna Chrome (o il browser stock) non li aprono!

  • Pingback: Firefox Per Android: falla di sicurezza permette l’installazione di applicazioni maligne | Crazyworlds()

  • Golfirio Masturloni (ex Tizio)

    ecco ti pareva, ed io uso appunto firefox, ed avevo fleggato pure le “origini sconosciute”.
    ha ragione Dario è una “svista” di dimensione colossali.
    Grazie! Francesco Rigamonti.

  • Luke_Friedman

    Sarebbe interessante capire come si potrebbe sfruttare il root e andare a sostituire i file di sistema… Non ho detto che voglio farlo, eh!

    • cesco89

      se sul dispositivo sono presenti i binari di “su”, quasi sicuramente ci sarà installata l’app per gestire i permessi, quindi l’utente verrebbe notificato.
      In assenza di root, le applicazioni sono “pseudo-sandboxate”, nel senso che possono accedere solo ai dati che essa genera in /data/data oppure ai dati “condivisi” quali, contenuto della SD-Card, contatti, messaggi, rubrica ecc ecc, ma ovviamente necessita dei relativi permessi per potervi accedere.
      Quindi, un’applicazione che vuole fare danni al tuo telefono, deve, comunque trovare una falla nel sistema e sfruttarla ( scalata ai permessi, sino a diventare “amministratore” e quindi avere accesso a qualsiasi file ) ;)

      • Luke_Friedman

        Giusto, non avevo messo in conto SU…
        Comuqnue a questo punto questa “falla” non è proprio un problemone, perché una app che intacchi i file di sistema chiederà comunque i permessi..

        • cesco89

          beh non è nemmeno un problema da sottovalutare!
          esisterà sicuramente l’utente che vedendo “firefox update” installerà l’app!
          poi, per quanto android possa essere sicuro dal punto di vista dei permessi che le app richiedono, dobbiamo ricordarci che i sorgenti di ogni singolo file di sistema sono pubblici e che di conseguenza il malintenzionato potrebbe studiarseli da cima a fondo in cerca di una falla da sfruttare ;)

  • Felix78

    Il vero problema è la RAM che si mangia Firefox, purtroppo l’ho abbandonato per questo motivo anche se il Sync era una fig@ta…

  • CVolLaIaul

    Di sicuro non è stata una scelta azzeccata da parte del team..è vero anche che x tenere flaggate le origini sconosciute e nn aspettarsi niente del genere e tappare su OK x ogni cosa che compare a display e parla di INSTALLARE qualcosa…ci vuole una furbizia notevole. A me su S3 gira benissimo.

  • masterblack91

    dolphin is the way LoL no cmq ho usato firefox beta per armv6 (visto che il mio cell non supporta quello normale) e devo dire che non è male…però mangia troppa ram…mi trovo meglio con dolphin che uso da quando ho comprato il cell :)

  • qandrav

    Complimenti vivissimi, ma cribbio non lo testano i betatesters prima ?