對三星來說這是糟糕的一周。幾天前,一位匿名人士發現了 Knox 中的漏洞,Knox 是一款數位保險箱,可讓您保護 Galaxy 終端上的敏感資料。一名埃及駭客現已在「尋找我的手機」中展示了一個嚴重的零日漏洞,該服務是韓國供應商提供的網路服務,允許用戶在玩具遺失或被盜的情況下對其進行地理定位,並在必要時將其阻止或阻止。
安全研究員 Mohamed Abdelbaset Elnoby(又名@SymbianSyMoh)找到了一種透過所謂的“跨站請求偽造」。當使用者登入「findmymobile.samsung.com」服務時,他們所要做的就是點擊一個受騙的 HTML 頁面(在本例中是一個隱藏的表單),他們就會發現自己擁有完全鎖定的智慧型手機。
在兩個影片中,埃及駭客展示了他自己的智慧型手機被網頁屏蔽的情況。在惡意程式碼中,我們看到他定義了特定的封鎖程式碼,並附有訊息“該終端已被@SymbianSymoh 鎖定”。透過相同的攻擊,還可以解鎖智慧型手機或使其響鈴。
三星 FindMyMobile 服務漏洞展示現場:https://t.co/5fjUUuOARI透過@Youtube
— 穆罕默德·A·巴塞特 (@SymbianSyMoh)2014 年 10 月 27 日
三星 FindMyMobile 服務漏洞展示:https://t.co/4AZSWkFD7S透過@Youtube
— 穆罕默德·A·巴塞特 (@SymbianSyMoh)2014 年 10 月 27 日
這種攻擊之所以可能會發生,是因為三星的 Web 服務不會對 HTML 請求的來源執行必要的檢查。美國 CERT-US/NIST 引用了該缺陷,編號為CVE-2014-8346,具有較高的風險等級。截至目前,韓國供應商尚未對這項發現發表評論。在等待修復期間,為了避免被欺騙,最好的方法是在智慧型手機上停用此功能。
另請閱讀:
三星 Galaxy 安全遭到匿名駭客破壞,於 27/10/2014
