Firefox 17年的弱点导致HTML文件从设备中窃取其他文件

应用程序安全研究员巴拉克·塔威利（Barak Tawily）与《黑客新闻》（Hacker News）分享了他的发现，他利用浏览器中一个17年前的已知问题，成功开发了针对最新版本Firefox的新概念验证攻击。

该攻击利用了Firefox对“file://”方案URI（统一资源标识符）实施同源策略（SOP）的方式，该策略允许系统文件夹中的任何文件访问同一文件夹和子文件夹中的文件。

由于IETF在RFC中没有明确定义文件方案的同源策略，因此每个浏览器和软件都以不同的方式实现它—；一些人将文件夹中的所有文件视为同一来源，而另一些人将每个文件视为不同的来源。

Tawily告诉黑客新闻，Firefox是唯一一款没有随时间改变文件URI方案的同源策略（SOP）的不安全实现，并且支持通过文件协议获取API的主流浏览器。

Firefox本地文件盗窃（未修补）

虽然Firefox的实现弱点在前几年已经在互联网上被反复讨论过，但这是第一次有人提出一个完整的PoC攻击，将数百万Firefox用户的安全和隐私置于危险之中。
如视频演示所示，Tawily利用了这个已知的老问题，并结合了点击劫持攻击和“上下文切换”漏洞，使他的攻击代码能够自动：

• 获取位于同一文件夹和子文件夹中的所有文件的列表，其中恶意HTML已被浏览器下载或由受害者手动保存，
• 使用Fetch API读取任何特定或所有文件的内容，然后
• 通过HTTP请求将收集的数据发送到远程服务器。

为了成功执行此攻击，攻击者需要诱使受害者在Firefox web浏览器上下载并打开恶意HTML文件，然后单击假按钮触发攻击。

塔威利告诉《黑客新闻》，只要受害者仔细点击恶意HTML页面上的按钮，上述所有行为都可能在几秒钟内在后台秘密发生，而受害者并不知道。

需要注意的是，这种技术只允许恶意HTML文件访问同一文件夹及其子文件夹中的其他文件。

在他的PoC攻击场景中，Tawily展示了如果用户将下载的文件保存在用户目录中（其子文件夹中也包含SSH密钥），攻击者如何轻松窃取Linux受害者的秘密SSH密钥。

Firefox短期内不会对其进行修补

这位研究人员负责地向Mozilla报告了他的新发现，Mozilla回应说，“我们实施的同源策略允许每个文件：//URL访问同一文件夹和子文件夹中的文件。”

这表明该公司目前似乎没有计划在短期内在其浏览器中解决这个问题。

在谈到解决这个问题的另一种方法时，Tway说，“从安全角度来看，我认为这应该在RFC端解决，这应该强制用户代理（浏览器）实现最安全的方法，并且不允许开发人员犯这样的错误，使客户机暴露在这样的攻击之下。”

2015年，研究人员在FireFox的同源策略中发现了一个类似但可远程执行的漏洞，攻击者在野外利用该漏洞，在FireFox用户点击网站上的恶意广告时窃取其计算机上存储的文件。

虽然新演示的攻击需要更多的社会工程，但许多Firefox用户仍然很容易成为这一攻击的受害者。