Zero
Gli hacker potrebbero aver preso su qualsiasi account di Samsung semplicemente inducendo l’utente ad accedere a un link malevolo, un ricercatore di sicurezza ha detto a ZDNet ieri.
La vulnerabilità è stato risolto dopo che il ricercatore, ucraino bug bounty hunter Artem Moskowsky, segnalato il problema a Samsung di questo mese.
Al centro di questo Samsung account problema è quello che gli esperti di sicurezza di un cross-site request forgery (CSRF) vulnerabilità. Spiegato in parole povere, questa vulnerabilità consente a un utente malintenzionato di trucco browser di un utente in esecuzione di comandi nascosti su altri siti, l’utente è attualmente connesso, ma mentre su un sito dannoso.
Moskowsky detto a ZDNet che ha identificato tre CSRF problemi di Samsung con sistema di gestione degli account.
Il primo avrebbe permesso a un utente malintenzionato di modificare i dettagli del profilo, il secondo avrebbe permesso a un utente malintenzionato di disabilitare l’autenticazione a due fattori, mentre il terzo avrebbe permesso a un utente malintenzionato di modificare l’account dell’utente domanda di sicurezza.
Mentre tutti e tre sono stati problemi importanti, il terzo potrebbe essere stato usato per prendere più di un account. Moskowsky detto a ZDNet che un utente malintenzionato potrebbe aver ingannato un utente l’accesso a un collegamento dannoso che avrebbe cambiato la sicurezza dell’utente domanda e risposta relativa.
L’aggressore ha poi tentato di accedere all’account utente utilizzando tale indirizzo email dell’utente e avviare il recupero della password la password che si basa sull’ormai contaminato domanda di sicurezza. Con una nuova password in mano, l’utente malintenzionato potrebbe accedere l’utente dell’account di Samsung.
Per buona misura, se l’account avrebbe usato l’autenticazione a due fattori, che potrebbe essere stato disabilitato, al tempo stesso, l’utente accede al collegamento dannoso.
L’accesso a un account di Samsung può consentire a un utente malintenzionato di tenere traccia di un i movimenti dell’utente tramite Trova il Mio Dispositivo funzione di controllo dell’utente collegati dispositivi smart, utente per l’accesso ai dati sanitari, accedere ai messaggi privati e altro ancora.
Per i tre bug ha riferito, Samsung premiato il ricercatore $13,300 ricompensa. Il mese scorso, il ricercatore ha anche raccolto un $25,000 bounty per un bagno di bug, che avrebbe permesso a un utente malintenzionato di ottenere qualsiasi CD chiavi per Steam del gioco, mai.
Più copertura di sicurezza:
Navi infettati con ransomware, USB malware, wormsFor il quarto mese consecutivo, le patch Microsoft Windows zero-day usata in wildSuper Micro dice di sicurezza esterna di revisione non ha trovato prove di backdoor chipsGoogle+ colpito da seconda API bug impatto di 52,5 milioni di usersHP offre agli hacker di $10.000 per trovare bug nei suoi stampanti TechRepublicFacebook attrae ricercatori con 40.000 dollari di ricompensa per conto di acquisizione vulnerabilitiesThe rockstar hacker che protegge dai cattivi CNETHackers può sfruttare questo bug in telecamere di sorveglianza per manomettere metraggio
Argomenti Correlati:
Mobilità
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0