Posted by MinO | 0 comments

Samsung: Μεγάλο κενό ασφαλείας στο Find My Mobile



Αν είστε κάτοχος iPhone, τότε σίγουρα γνωρίζετε (και χρησιμοποιείτε) την υπηρεσία Find My iPhone, η οποία κλειδώνει απομακρυσμένα τη συσκευή σας σε περίπτωση κλοπής και ταυτόχρονα, διαμοιράζει το στίγμα της στο χάρτη για να μπορείτε να την εντοπίσετε. Αντίστοιχη υπηρεσία για τους κατόχους Samsung smartphones είναι το Find My Mobile, η οποία κάνει ακριβώς το ίδιο πράγμα: Προστατεύει τη συσκευή σας από κλοπή. Το κάνει όμως;

Σύμφωνα με το NIST και τον ερευνητή ασφαλείας Mohamed Baset, hackers κατάφεραν να δημιουργήσουν ένα exploit που μπορεί να «τρελάνει» την εν λόγω υπηρεσία. Πιο συγκεκριμένα, το exploit αυτό επιτρέπει στους κακόβουλους χρήστες να κλειδώσουν το smartphone, να προβούν σε full wipe του, ακόμα και να το κάνουν να χτυπά από απόσταση, μετατρέποντάς το ουσιαστικά από δύσχρηστο, μέχρι άχρηστο.

Το αδιανόητο όμως είναι ο τρόπος που μπορεί να ενεργοποιηθεί. Όπως ξέρουμε, η υπηρεσία αυτή λειτουργεί μέσω εισαγωγής στοιχείων (Samsung Account). Εκεί παρεμβάλλεται ο hacker, στέλνοντας τεράστια ποσότητα δεδομένων σε ελάχιστο χρονικό διάστημα (DDoS Attack - style), με αποτέλεσμα να μη μπορεί η Samsung να επιβεβαιώσει τα στοιχεία που δίνονται.

Πιθανότατα σε αυτή τη φάση υποκλέπτονται τα στοιχεία του λογαριασμού, τα οποία χρησιμοποιούνται εναντίων του χρήστη.

[via]

0 comments: