Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/10/2014
La funció "Find my Mobile" implementada per Samsung en els seus dispositius és un servici web que proporciona als usuaris de dispositius Samsung característiques per a localitzar un dispositiu perdut o robat. Esta utilitat inclosa també per altres fabricants (com Apple o Microsoft), permet fer sonar el dispositiu remot, esborrar el seu contingut o bloquejar-ho de forma remota perquè ningú més no puga aconseguir accés al dispositiu perdut.
El problema, descobert per Mohamed A. Baset (@SymbianSyMoh), residix en una vulnerabilitat de Cross-Site Request Forgery (CSRF), que podria permetre a un atacant bloquejar el dispositiu amb un codi de la seua elecció. Bàsicament, l’atacant utilitzarà l’atac CSRF per a enganyar l’usuari per a accedir a un enllaç o URL que conté peticions malicioses o no autoritzades. L’atacant podrà arribar a bloquejar el mòbil de l’usuari amb un codi de la seua elecció, la qual cosa forçaria l’usuari a realitzar una recuperació del codi de bloqueig a través del seu compte Google.
L’enllaç maliciós té els mateixos privilegis que l’usuari autoritzat per a dur a terme una tasca no desitjada en el nom de la víctima. Les vulnerabilitats de Cross-site Request Forgery (CSRF) permeten a un atacant executar funcionalitats d’una web determinada a través de la sessió activa en eixa web d’un altre usuari. L’investigador ha proporcionat proves de concepte en forma de vídeos que detallen com dur a terme l’atac i els efectes que pot tindre :
https://www.youtube.com/watch?v=YufuOYQoDOY
https://www.youtube.com/watch?v=Q3adkpOEjyI
Dispositius Samsung
Referències:CVE-2014-8346
Solució:Actualment no hi ha pegat per a esta vulnerabilitat.
Es recomana tindre especial atenció per a no accedir a enllaços sospitosos.
Més informació: