Уязвимость в сервисе Find My Mobile позволяет злоумышленнику получить удаленный доступ к смартфону Samsung



    Сервисы, позволяющие обнаружить украденный или потерянный телефон, с возможностью удаленной блокировки, звонка или уничтожения информации на смартфоне, существуют у каждого крупного и среднего производителя. Есть такие сервисы у Apple, HTC, есть он и у Samsung. Называется услуга Find My Mobile.

    Как оказалось, этот сервис можно использовать не только владельцу телефона, работать с ним может и злоумышленник. При определенных условиях сторонний человек может получить доступ к управлению удаленным смартфоном Samsung, с той самой возможностью заблокировать телефон или стереть с него всю информацию.

    Специалисты по сетевой безопасности обнаружили, что при отсылке кода безопасности Find My Mobile не проводит валидацию получаемой информации. Как результат — злоумышленник может «зафлудить» телефон для получения контроля над устройством.

    Пока что в Samsung никак не прокомментировали уязвимость.





    Via engadget
    • +15
    • 13.8k
    • 7
    Support the author
    Share post

    Comments 7

      0
      Ну что тут скажешь… Красавцы.
        –2
        Кажется уже закрыли=(
          +1
          Причём закрыли уязвимость странно. Сейчас над коллегой пытался этот фокус провернуть и его просто разлогинило и попросило поменять пароль от аккаунта. Только у него не G3, а G4… Но, сомневаюсь, что это имеет хость сколь-нибудь важное значение.
            0
            Это вам информации из текста выше хватило, чтобы повторить эксперимент? Или где-то в видеороликах скрыта подробная инструкция?
              0
              Не вижу ничего сложного, чтобы реализовать CSRF подобного рода. Если я что-то упустил и там где-то должна быть «магия» — прошу поправить меня и опровергнуть моё высказывание о том, что они «закрыли» дырку. По крайней мере на CORS браузер не ругался.
            +1
            Меня одного настораживает этот грустный смайлик?
              0
              Просто улыбайся.

          Only users with full accounts can post comments. Log in, please.