È da poco stato pubblicato un report, scritto da ricercatori di sicurezza dell'IBM, dove sono state scoperte diverse vulnerabilità, nella versione mobile di Firefox per Android, che permettono ad app maligne di trafugare i dati sensibili che sono contenuti nello user profile del browser.
Entrando nei dettagli, Firefox salva i dati personali nella directory /data/data/org.mozilla.firefox/files/mozilla<nome random>.default, dove il nome random è una sigla casuale di caratteri che celano il profilo utente in caso di exploit che vadano a colpire il browser.
Oltre al robottino, sembra proprio che su Firefox sbuchino bug da tutte le parti.
I ricercatori di IBM hanno sviluppato un exploit per attaccare "brute force" la stringa random che compone il nome del profilo utente, riuscendo a bypassare le sandbox che Android usa per proteggere eventuali leak di dati da un'app all'altra e ottenendo dati sensibili quali cookie, cronologia di navigazione e le informazioni contenute nella cache.
A un cyber-malvivente, basta creare un file HTML che forzi Firefox a caricare i file che sono inclusi nella directory del profilo usando un "Intent", il metodo con cui Android fa comunicare tra loro le app che girano nel sistema operativo.
Alcuni file importanti vengono esposti dalle vulnerabilità.
Il file HTML deve contenere un codice JavaScript che vada a scaricare tutti i file contenuti nella directory dell'user profile usando un iframe, sfruttando la vulnerabilità conosciuta come CVE-2014-1515. I file scaricati usando il codice che fa uso di tale exploit sono salvati automaticamente sulla SD card nella directory /mnt/sdcard/download e naturalmente sono in questo modo facilmente accessibili al cyber criminale di turno.
Le vulnerabilità descritte nel report sono quattro in totale: si partire dalla CVE-2014-1516, che permette ad un attaccante di conoscere il PRNG o "generatore pseudo-random di numero" che decide il set di caratteri con cui nominare il profilo di Firefox, riuscendo in questo modo a prevedere come si chiamerà il file.
La seconda vulnerabilità usata è stata descritta come CVE-2014-1484, che fa sì che il nome random del profilo di Firefox venga scritto nell'Android System Log, in vari punti, il che significa riuscire a reperire facilmente la stringa che dovrebbe proteggere il profilo utente del browser. In versioni di Android dalla 4.0 in giù, applicazioni con permessi READ_LOGS, possono facilmente accedere ai log di Android e reperire il nome del profilo utente di Mozilla.
La terza falla usata è quella descritta precedentemente, che permette ad app scritte in modo tale da avere il permesso READ_EXTERNAL_STORAGE, di scaricare automaticamente determinate directory e relativi file direttamente sulla SD card, rendendo anche visibili file come i database o i cookie.
L'ultimo exploit deriva dal sistema di report dei crash di Firefox. In caso il browser vada in crash, questo crea dei crash dump nella directory data/data/org.mozilla.firefox/files/mozilla/Crash Reports/pending, nel file system del device. Usando l'exploit descritto nel CVE-2014-1506, un attaccante può manipolare i file dei report, per rubare il Log, riuscendo poi ad ottenere dati sensibili.
Una schermata che già fa poco piacere vedere di solito, diventa anche più allarmante.
Hacker più o meno esperti, mettendo insieme una o più di queste falle, possono facilmente entrare in possesso dei dati sensibili contenuti nel file del profilo utente di Firefox. Come sempre in questi casi, i ricercatori hanno riportato tutto a Mozilla nel Novembre del 2013, ovviamente ben prima di pubblicare il report.
Quello che interessa noi è che tre dei quattro exploit siano stati corretti nelle ultime versioni del browser, in particolare nella v28.0.1 che vi consigliamo di scaricare da Google Play Store, in caso non l'aveste già fatto. Per l’ultimo… beh… speriamo che qualcosa succeda a breve.