De Australische beveiligingsonderzoeker Chris Moberly heeft een kwetsbaarheid in Firefox voor Android gevonden. Mozilla heeft de fout inmiddels hersteld in Firefox for Android 80.1.3. De Australiër ontdekte een fout in de SSDP engine van Firefox versie 79.

Simple Service Discovery Protocol (SSDP) wordt door Android gebruikt om UDP-multicast meldingen te kunnen versturen naar andere apparaten op het netwerk om te zoeken naar de beschikbare apparaten om mee te verbinden. Elk apparaat dat op hetzelfde netwerk is aangesloten, reageert namelijk op het SSDP-bericht en antwoordt met een locatie voor het verkrijgen van gedetailleerde informatie over een UPnP (Universal Plug and Play) apparaat.

Als een kwaadwillende op hetzelfde wifi-netwerk als het slachtoffer is verbonden, kan hij dankzij de kwetsbaarheid toegang krijgen tot het apparaat van het slachtoffer. Daarvoor is geen enkele handeling van het slachtoffer nodig. Om de kwetsbaarheid te misbruiken is het wel nodig dat zowel de aanvaller als het slachtoffer een Android-toestel hebben waarop Firefox is geïnstalleerd.

Moberly heeft de fout gepubliceerd nadat hij eerst Mozilla had gewaarschuwd. Mozilla heeft de kwetsbaarheid gerepareerd in Firefox 80.1.3. De kwetsbaarheid kwam overigens alleen voor in de mobiele versie van Firefox. De desktop- versie van Firefox is niet kwetsbaar voor dit beveiligingslek.