O problema foi descoberto pelo especialista em segurança Chris Moberly. Ele postou um vídeo no Twitter demonstrando a falha em ação: quando um comando é executado em um computador para transmitir uma mensagem na rede, o celular abre um site apenas no navegador Firefox.

Para estar vulnerável a este ataque, bastavam duas condições: ter uma conexão ativa a uma rede Wi-Fi e ter o navegador Firefox para Android aberto no smartphone.

Moberly descobriu que o Firefox manipulava incorretamente o Simple Service Discovery Protocol (SSDP), uma tecnologia na qual os dispositivos anunciam sua presença para outras pessoas na rede. A comunicação ocorre por meio de mensagens transmitidas a todos os dispositivos conectados à rede.

Não há interação direta com o SSDP, mas produz efeitos que facilitam o uso de dispositivos. Pode ser usado, por exemplo, para informar a um smartphone ou computador que está conectado à mesma rede de um aparelho de televisão que suporte streaming de conteúdo (“streaming”), permitindo que você continue reproduzindo um vídeo ou música a televisão. .

No entanto, a interpretação dessas mensagens pelo Firefox acabou levando o navegador a abrir qualquer site indicado por outra pessoa da rede, sem autorização.

Embora uma pessoa mal-intencionada possa forçar o navegador a exibir um site, essa falha sozinha não pode acessar os dados ou comprometer o telefone celular com spyware. Como o problema foi identificado por um especialista e relatado diretamente à Mozilla, não há registro da falha sendo usada em ataques reais.

A vulnerabilidade foi corrigida desde a versão 79 do Firefox. Dessa forma, basta atualizar o navegador no Android para ficar imune a esse ataque específico. A versão atual do navegador é 80.1.3.

As versões do Firefox para outros sistemas, como Windows, Linux e macOS, não eram vulneráveis.

Perguntas sobre segurança, hackers e vírus? Envie para [email protected]

Vídeos: Aprenda dicas de segurança digital