[ad#ad-cesco]
Firefox per Android, attualmente, non chiede alcuna conferma per il download dei files dal web, inoltre, una volta terminato il download, il browser tenterà di aprire il file con l’applicazione impostata come default, basandosi sull’estensione del pacchetto scaricato. Fondamentalmente, quindi, qualsiasi server potrebbe inviare una richiesta di download a Firefox e fare in modo che questo esegua il download. L’exploit in azione potete vederlo nel video a fine articolo, e , in questo caso, viene utilizzato un apk camuffato da update.
Va anche sottolineato che, perchè il procedimento “vada a buon fine” , l’utente deve aver abilitato nelle impostazioni, l’installazione di applicazioni provenienti da “Origini sconosciute“. In caso contrario nessun apk potrà essere installato se non proveniente dal PlayStore. Altro punto fondamentale, per fare in modo che l’applicazione maligna venga installata, sarà necessario utilizzare il PackageInstaller nativo.
Considerando tutte queste variabili e restrizioni per fare in modo che l’applicazione venga installata, l’unico vero problema da risolvere resta in Firefox. Nel momento in cui il server invia la richiesta di download, Firefox dovrebbe notificare l’utente e lasciare che sia questo a decidere se scaricare il file o meno, e soprattutto, dovrebbe essere rimossa la funzione di apertura automatica del file al termine del download. Sarà poi l’utente, dall’applicazione “Download”, o cliccando sulla notifica, ad aprire il file scaricato.
httpvh://youtu.be/rHPFGyUFtrI
[…] (…)Continua a leggere Firefox Per Android: falla di sicurezza permette l’installazione di applica… […]
più che una falla nel codice mi sembra una grave leggerezza da parte degli sviluppatori di firefox… come ti viene in mente di consentire download di files da una pagina web senza notificare nulla e aprendo in automatico il file? follia.
Decisamente…comunque quella del download di apk in automatico visitando certi siti mi è capitato qualche volta, ma per fortuna Chrome (o il browser stock) non li aprono!
[…] (…)Continua a leggere Firefox Per Android: falla di sicurezza permette l’installazione di applica… […]
ecco ti pareva, ed io uso appunto firefox, ed avevo fleggato pure le “origini sconosciute”.
ha ragione Dario è una “svista” di dimensione colossali.
Grazie! Francesco Rigamonti.
Sarebbe interessante capire come si potrebbe sfruttare il root e andare a sostituire i file di sistema… Non ho detto che voglio farlo, eh!
se sul dispositivo sono presenti i binari di “su”, quasi sicuramente ci sarà installata l’app per gestire i permessi, quindi l’utente verrebbe notificato.
In assenza di root, le applicazioni sono “pseudo-sandboxate”, nel senso che possono accedere solo ai dati che essa genera in /data/data oppure ai dati “condivisi” quali, contenuto della SD-Card, contatti, messaggi, rubrica ecc ecc, ma ovviamente necessita dei relativi permessi per potervi accedere.
Quindi, un’applicazione che vuole fare danni al tuo telefono, deve, comunque trovare una falla nel sistema e sfruttarla ( scalata ai permessi, sino a diventare “amministratore” e quindi avere accesso a qualsiasi file ) ;)
Giusto, non avevo messo in conto SU…
Comuqnue a questo punto questa “falla” non è proprio un problemone, perché una app che intacchi i file di sistema chiederà comunque i permessi..
beh non è nemmeno un problema da sottovalutare!
esisterà sicuramente l’utente che vedendo “firefox update” installerà l’app!
poi, per quanto android possa essere sicuro dal punto di vista dei permessi che le app richiedono, dobbiamo ricordarci che i sorgenti di ogni singolo file di sistema sono pubblici e che di conseguenza il malintenzionato potrebbe studiarseli da cima a fondo in cerca di una falla da sfruttare ;)
Il vero problema è la RAM che si mangia Firefox, purtroppo l’ho abbandonato per questo motivo anche se il Sync era una fig@ta…
Di sicuro non è stata una scelta azzeccata da parte del team..è vero anche che x tenere flaggate le origini sconosciute e nn aspettarsi niente del genere e tappare su OK x ogni cosa che compare a display e parla di INSTALLARE qualcosa…ci vuole una furbizia notevole. A me su S3 gira benissimo.
dolphin is the way LoL no cmq ho usato firefox beta per armv6 (visto che il mio cell non supporta quello normale) e devo dire che non è male…però mangia troppa ram…mi trovo meglio con dolphin che uso da quando ho comprato il cell :)
Complimenti vivissimi, ma cribbio non lo testano i betatesters prima ?