Due ricercatori di sicurezza, tra cui un italiano, hanno portato alla luce un bug di Firefox, legato a una particolare implementazione della regola SOP, che potrebbe consentire a un malintenzionato di sottrarre dati memorizzati in locale.
Il problema, che affligge qualsiasi versione di Firefox inclusa quella per Android, è noto da tempo a Mozilla che ha scelto una implementazione personale della Same Origin Policy. Un eventuale malintenzionato può accedere ai file presenti nella memoria interna dello smartphone, utilizzando un file HTML o SVG appositamente creato.
Inviando ad esempio un file HTML o SVG su WhatsApp, e invitando l ‘utente ad aprirlo con Firefox, è possibile ottenere l’accesso ai dati personali e trasferirli senza che la vittima debba fare alcun a operazione aggiuntiva. Va sottolineato che un eventuale malintenzionato potrà accedere solamente alle cartelle dell’applicazione che ha generato la richiesta di apertura del file.
Non è escluso che, dopo aver fatto orecchie da mercante per 17 anni, Mozilla si decida a risolvere il problema di Firefox, rendendo più solida l’implementazione della regola SOP. A questo indirizzo trovate il tweet del ricercatore italiano, con un video che mostra il bug su WhatsApp.