Bug in Firefox permette la sottrazione di file memorizzati in locale, anche su Android

• Privacy
• Firefox

Alcuni ricercatori, tra cui l’italiano Luigi Gubello – alias Evariste Galois – hanno portato alla luce una grave lacuna di sicurezza di Mozilla Firefox che può essere sfruttata da utenti malintenzionati per sottrarre dati memorizzati nei dispositivi mobili delle vittime.

Il problema ha a che fare con il concetto di Same Origin Policy (SOP) così come è stato implementato in Firefox.
La SOP è una particolare regola di sicurezza che evita l’apertura di risorse di terze parti salvate su un dominio o un sottodominio differente (oppure gestite su una porta diversa).

Provate a digitare file:///c:/ nella barra degli indirizzi di qualunque browser su sistemi Windows: verrà mostrato il contenuto dell’unità C:. In Android, si può digitare – ad esempio – file:///sdcard/ per accedere al contenuto della memoria da browser web.

Dal momento che l’URI file:/// non è stato puntualmente definito da un organismo riconosciuto come la IETF, esso è stato implementato seguendo diverse strade dagli sviluppatori di ciascun browser.

Così, il ricercatore Barak Tawily ha evidenziato che dopo 17 anni (la “leggerezza” era nota da tempo immemorabile al team di sviluppo di Firefox…) è ancora presente un bug che se sfruttato “in maniera creativa” può avere conseguenze devastanti.

Nel video si vede che su un sistema desktop un aggressore può sottrarre dati dal sistema della vittima e trasferirli automaticamente verso un server remoto semplicemente inducendo l’utente a cliccare su un file HTML.

Rispetto a Tawily, Gubello si è spinto ancora più avanti dimostrando (vedere il tweet successivo) che su smartphone Android la questione è, se possibile, ancora più grave.

Gubello spiega che inviando un file HTML o SVG malevolo attraverso WhatsApp o altri software di messaggistica istantanea quindi richiedendone l’apertura con Firefox, il browser Mozilla può trasferire i dati presenti sul telefono senza alcuna operazione aggiuntiva (leggasi “clic”) da parte della vittima.

Allego video dimostrativo del problema. Il rischio – con WhatsApp su Android – è che vengano prelevati facilmente i file contenuti in "WhatsApp Documents/Sent". Ergo, finché Firefox non risolve, non aprire con Firefox SVG e HTML ricevuti su WhatsApp. Con Chrome nessun problema. pic.twitter.com/7wXnLfdIbV

— evariste (@evaristegal0is) 3 luglio 2019

“Il problema con le SOP di Firefox si pone quando un file viene salvato in un ambiente ordinato e prevedibile, ad esempio le sottodirectory di /sdcard/WhatsApp su Android“, osserva Gubello.
In altre parole, se i file HTML o SVG malevoli ricevuti e aperti con Firefox contenessero riferimenti file:/// verso locazioni di memoria conosciute, è facile per un aggressore impossessarsi dei dati altrui disponendone il trasferimento verso server remoti.

Come evitare di esporsi a rischi? In primis evitare di usare Firefox per aprire file HTML o SVG ricevuti attraverso software di messaggistica istantanea come WhatsApp.
Va detto che l’aggressione descritta da Gubello e Tawily può portare alla sottrazione dei soli dati contenuti nella cartella dell’applicazione dalla quale si è originata la richiesta di apertura del file HTML o SVG malevolo. Nel caso di WhatsApp, è ovviamente molto semplice trasferire ad esempio quanto memorizzato nelle sottocartelle dell’app.

Dopo un parere inizialmente negativo, non è escluso che Mozilla intervenga per rendere più solida l’implementazione della SOP in Firefox (vedere qui).