Исследователи обнаружили уязвимость в приложении Samsung «Find My Mobile»
Сервисы, позволяющие отслеживать местоположение утерянных телефонов есть почти у каждой крупной компании производителя мобильной техники. У Google это Android Device Manager и Find My iPhone у Apple. Аналогичный сервис под названием Find My Mobile существует и у компании Samsung. Через него пользователь может удалённо заблокировать смартфон или отследить его местоположение.
Опция Find My Mobile по умолчанию отключена на всех устройствах Samsung до тех пор, пока пользователь не зарегестрирует аккаунт в сервисах Samsung. Специалисты по сетевой безопасности обнаружили, что при отправке кода безопасности Find My Mobile не проводит верификацию получаемой информации, в следствие чего злоумышленнику нужно всего лишь отправить множество запросов на телефон жертвы, чтобы получить над ним контроль.
Уязвимость позволяет хакерам удаленно заблокировать и разблокировать устройство, а также включать на минуту мелодию звонка на максимальной громкости, даже если телефон находится в режиме вибрации. Один из экспертов NIST по имени Мохамед Басет (Mohamed A. Baset) выложил в сеть два видео, в которых продемонстрировал работоспособность уязвимости.
[embedded content] [embedded content] Специалисты оценили опасность обнаруженной бреши в безопасности в 7,8 балла из 10 по Системе Оценки Уязвимостей, а возможность её эксплуатации — в максимальные 10 баллов. Пока что компания Samsung не сделала никаких публичных заявлений по уязвимости.
© TJournal
