Se ha anunciado una vulnerabilidad en la función
"Find my mobile" de Samsung que podría permitir a un atacante remoto
activar sus funcionalidades, de forma que podría hacer que suene o bloquearlo
(con un código arbitrario).
La función
"Find my Mobile" implementada por Samsung en sus dispositivos es un
servicio web que proporciona a los usuarios de dispositivos Samsung
características para localizar un dispositivo perdido o robado. Esta utilidad
incluida también por otros fabricantes (como Apple o Microsoft), permite hacer
sonar el dispositivo remoto, borrar su contenido o bloquearlo de forma remota
para que nadie más puede conseguir acceso al dispositivo perdido.
El problema,
descubierto por Mohamed A. Baset (@SymbianSyMoh), reside en una vulnerabilidad
de Cross-Site Request Forgery (CSRF), que podría permitir a un atacante
bloquear el dispositivo con un código de su elección. Básicamente, el atacante
utilizará el ataque CSRF para engañar al usuario para acceder a un enlace o url
que contiene peticiones maliciosas o no autorizadas. El atacante podrá llegar a
bloquear el móvil del usuario con un código de su elección, lo que forzaría al
usuario a realizar una recuperación del código de bloqueo a través de su cuenta
Google.
El enlace
malicioso tiene los mismos privilegios que el usuario autorizado para llevar a
cabo una tarea no deseada en el nombre de la víctima. Las vulnerabilidades de
Cross-site Request Forgery (CSRF) permiten a un atacante ejecutar
funcionalidades de una web determinada a través de la sesión activa en esa web de otro usuario.
El investigador ha proporcionado pruebas de concepto en
forma de vídeos que detallan como llevar a cabo el ataque y los efectos que
puede tener. Se ha asociado el CVE-2014-8346 a esta vulnerabilidad accesibles
desde .
Más
información:
- Vulnerability Summary for CVE-2014-8346 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8346
- Samsung FindMyMobile Service Vulnerabilities
Demonstration https://www.youtube.com/watch?v=YufuOYQoDOY
- Samsung FindMyMobile Service Vulnerabilities
Demonstration Live https://www.youtube.com/watch?v=Q3adkpOEjyI