Clear
Lead Graphic Papers

ระวังภัย Firefox for Android มีช่องโหว่ดาวน์โหลดแอพพลิเคชันอันตรายมาติดตั้งทันทีที่เข้าเว็บไซต์

วันที่ประกาศ: 12 กันยายน 2556
ปรับปรุงล่าสุด: 12 กันยายน 2556
เรื่อง: ระวังภัย Firefox for Android มีช่องโหว่ดาวน์โหลดแอพพลิเคชันอันตรายมาติดตั้งทันทีที่เข้าเว็บไซต์

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

Firefox for Android มีช่องโหว่ดาวน์โหลดไฟล์ .apk มาติดตั้งโดยอัตโนมัติ ในทันทีที่ผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ ช่องโหว่ดังกล่าวนี้ถูกนำมาเปิดเผยเป็นครั้งแรกเมื่อวันที่ 9 กันยายน 2556 โดยมีจุดประสงค์เพื่อต้องการขายข้อมูลช่องโหว่ และปัจจุบันยังไม่พบว่ามีการเผยแพร่ข้อมูลวิธีการโจมตีผ่านช่องโหว่นี้ออกสู่สาธารณะ [1]

ตัวอย่างวิธีการโจมตีสามารถดูได้จากวิดีโอ http://www.youtube.com/watch?v=rHPFGyUFtrI#t=393

ผลกระทบ

เมื่อผู้ใช้งานเข้าถึงเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่โดยใช้ Firefox for Android ตัวโปรแกรมจะดาวน์โหลดไฟล์ .apk มาลงในเครื่องแล้วเรียกแสดงหน้าจอการติดตั้งแอพพลิเคชันดังกล่าว ซึ่งหากผู้ใช้หลงเชื่อแล้วกดปุ่มติดตั้ง ก็อาจก่อให้เกิดอันตรายกับข้อมูลที่อยู่ในเครื่องได้

อย่างไรก็ตาม การที่จะตกเป็นเหยื่อจากการโจมตีโดยวิธีนี้ได้ ผู้ใช้จำเป็นต้องเปิดใช้งานการติดตั้งแอพพลิเคชันจากแหล่งที่มาที่ไม่รู้จัก (Install apk from unknown sources) และเป็นผู้กดยอมรับการติดตั้งไฟล์ .apk ดังกล่าวเอง [2]

ระบบที่ได้รับผลกระทบ

Firefox for Android เวอร์ชัน 23, 24 และ 26 (Nightly)

ข้อแนะนำในการป้องกันและแก้ไข

เนื่องจากปัจจุบันยังไม่มีข้อมูลช่องโหว่นี้เผยแพร่ออกสู่สาธารณะ และทาง Mozilla ผู้พัฒนา Firefox for Android ยังไม่มีแถลงการณ์เกี่ยวกับช่องโหว่ดังกล่าว ผู้ใช้งาน Firefox for Android ควรเปลี่ยนไปใช้เบราว์เซอร์อื่นเป็นการชั่วคราวจนกว่าจะมีอัพเดตออกมาแก้ไขช่องโหว่นี้ หรือหากจำเป็นต้องใช้ Firefox for Android ไม่ควรติดตั้งแอพพลิเคชันที่ไม่ได้ดาวน์โหลดมาจากแหล่งที่มาที่น่าเชื่อถือ เช่น Google Play Store

อ้างอิง

  1. http://1337day.com/exploits/21214
  2. http://www.androidpolice.com/2013/09/11/security-firefox-for-android-can-be-tricked-into-automatically-downloading-and-executing-malicious-code/

Clear