Przeglądarka internetowa to okno na świat, ale również coraz częstsze narzędzie pracy, które raz otwarte, pracuje i pracuje cały czas, odpowiadając za coraz więcej elementów – pocztę, kanały RSS, komunikatory webowe, notatki czy pakiety biurowe pracujące online. Nic więc dziwnego w tym, że bezpieczeństwo przeglądarki to sprawa naprawdę priorytetowa. Jest tak nawet w wypadku urządzeń mobilnych, takich jak smartfony i tablety, bo pomimo że dostępne na nie przeglądarki nie oferują (jeszcze) takich możliwości jak pełnoprawni protoplaści, to jednak używane w nich dane mogą być wrażliwe. Lekkiego życia nie ma mobilna wersja Firefoksa dla Androida. Niedawno okazało się, że bez pytania użytkownika wykonuje domyślne akcje na określonych zasobach, teraz doszła kolejna, znacznie poważniejsza luka bezpieczeństwa.
Podatność, która umożliwia uzyskanie dostępu do danych z karty SD, oraz prywatnych danych przeglądarki odkrył Sebastián Guerrero Selma z firmy viaForensics zajmującej się bezpieczeństwem urządzeń mobilnych. Po nakłonieniu ofiary do odwiedzenia strony z odpowiednio spreparowanym kodem JavaScript swoje działanie rozpoczyna eksploit. Jako że dane przeglądarki są zaszyfrowane, drugi pobiera odpowiednią aplikację do zdobycia informacji niezbędnych do odszyfrowania danych użytkownika. W efekcie atakujący jest w stanie przechwycić ciasteczka, dane logowania, zakładki czy też historię. Oprócz dostępu do tego chronionego obszaru, może on również przeglądać i modyfikować całą zawartość karty pamięci, a więc także danych umieszczonych tam przez użytkownika. Przeprowadzenie ataku przedstawia poniższy film:
Informacje o luce, a także sposób na powtórzenie ataku zostały przez odkrywcę przesłane do Mozilli. Fundacja już zajęła się tym problemem, zostanie on załatany w najbliższej aktualizacji (wersja z 21 września dostępna w chwili pisania tej notki jest podatna na atak). Do tego czasu zalecamy użycie innej przeglądarki internetowej na urządzeniach z Androidem. Jeżeli jesteście zmuszeni do korzystania z Firefoksa, odwiedzajcie tylko w pełni zaufane witryny, nie klikając podejrzanych linków.
