Un pirate russe underground connu sous le pseudo de fil9 vient de mettre en vente un exploit Zero-day ciblant Firefox sous Android. La vente se déroule sur la plateforme dédiée au commerce de vulnérabilités Inj3ct0r. Prix de vente de l’exploit affiché : 460$ seulement !
L’auteur annonce une vulnérabilité 0-Day, comprenez inconnue jusqu’alors et non patchée, donc pleinement exploitable. L’exploit fonctionnerait sur les versions 23,24 et 26 de Firefox sous l’OS Android. L’annonce a été remarquée par Joshua, analyste malwares chez Malwarebytes.
Selon la vidéo PoC mise en ligne par le pirate, l’exploit force le navigateur Firefox mobile à télécharger et à exécuter une application malveillante, sur simple visite d’un lien malveillant. Une attaque de type Drive-By Download donc. Ce qui est inquiétant, c’est que de nombreux sites majeurs sont fréquemment compromis et un grand nombre de visiteurs de ces sites piratés peuvent alors être victimes de cette attaque.
[youtube rHPFGyUFtrI nolink]
“Le plus gros problème dans cette situation c’est que Firefox exécute automatiquement certains fichiers connus une fois qu’ils sont téléchargés, et ne donne pas aux utilisateurs une option pour désactiver ce comportement. Sans message d’avertissement, les utilisateurs n’ont aucune idée qu’une application externe vient d’être exécutée.” a expliqué Joshua.
Un attaquant peut utiliser des astuces d’ingénierie sociale, ou le phishing (hameçonnage) pour amener l’utilisateur à cliquer sur un lien malveillant et ainsi les infecter. Pour les utilisateurs de Firefox sous Android, il est donc recommandé de passer à un autre navigateur, jusqu’à ce que Mozilla ait corrigé la vulnérabilité.