Firefox per Android, attualmente, non chiede alcuna conferma per il download dei files dal web, inoltre, una volta terminato il download, il browser tenterà di aprire il file con l’applicazione impostata come default, basandosi sull’estensione del pacchetto scaricato. Fondamentalmente, quindi, qualsiasi server potrebbe inviare una richiesta di download a Firefox e fare in modo che questo esegua il download. L’exploit in azione potete vederlo nel video a fine articolo, e , in questo caso, viene utilizzato un apk camuffato da update.
Va anche sottolineato che, perchè il procedimento “vada a buon fine” , l’utente deve aver abilitato nelle impostazioni, l’installazione di applicazioni provenienti da “Origini sconosciute“. In caso contrario nessun apk potrà essere installato se non proveniente dal PlayStore. Altro punto fondamentale, per fare in modo che l’applicazione maligna venga installata, sarà necessario utilizzare il PackageInstaller nativo.
Considerando tutte queste variabili e restrizioni per fare in modo che l’applicazione venga installata, l’unico vero problema da risolvere resta in Firefox. Nel momento in cui il server invia la richiesta di download, Firefox dovrebbe notificare l’utente e lasciare che sia questo a decidere se scaricare il file o meno, e soprattutto, dovrebbe essere rimossa la funzione di apertura automatica del file al termine del download. Sarà poi l’utente, dall’applicazione “Download”, o cliccando sulla notifica, ad aprire il file scaricato.
httpvh://youtu.be/rHPFGyUFtrI