Nul
Hackers kunnen hebben genomen over een Samsung-account aan door tricking voor een gebruiker de toegang tot een kwaadaardige link, een security-onderzoeker vertelde ZDNet gisteren.
De kwetsbaarheid is nu hersteld na de onderzoeker, oekraïens bug bounty hunter Artem Moskowsky, meldde het probleem van Samsung deze maand.
In het hart van deze Samsung-account probleem is wat security experts noemen een cross-site request forgery (CSRF) kwetsbaarheid. Uitgelegd in leken termen, deze kwetsbaarheid kan een aanvaller te misleiden, de browser van een gebruiker in de uitvoering van de verborgen commando ‘ s op andere sites die de gebruiker op dat moment is ingelogd, maar terwijl ze op een aanvaller van de site.
Moskowsky vertelde ZDNet dat hij identificeerde drie CSRF problemen in de Samsung-account-management-systeem.
De eerste zou hebben toegestaan een kwaadwillende gebruiker, of aanvaller profiel details, de tweede zou hebben toegestaan een aanvaller uit te schakelen twee-factor authenticatie, terwijl de derde zou hebben toegestaan een aanvaller te wijzigen, de account van de gebruiker de veiligheid vraag.
Terwijl alle drie waren belangrijke thema ‘ s, de derde had kunnen worden gebruikt om te nemen over een account. Moskowsky vertelde ZDNet dat een aanvaller zou kunnen hebben misleid voor een gebruiker de toegang tot een kwaadaardige link die zou hebben veranderd de veiligheid van de gebruiker vragen en de bijbehorende antwoorden.
De aanvaller heeft vervolgens geprobeerd om in te loggen op het account van de gebruiker met behulp van de gebruiker e-mail adres en het starten van de terugwinning van het wachtwoord het wachtwoord in dat gebruikt is op de nu-bedorven veiligheid vraag. Met een nieuw wachtwoord in de hand, de aanvaller kan vervolgens toegang tot de gebruikers van Samsung-account.
Voor een goede maatregel, als de rekening zou hebben gebruikt twee-factor authenticatie, dat kan zijn uitgeschakeld op hetzelfde moment dat de gebruiker toegang tot de kwaadaardige link.
Toegang tot een Samsung-account kan een aanvaller track van een gebruiker bewegingen via de Vind Mijn Toestel hebben, onder controle van de gebruiker met elkaar verbonden zijn slimme apparaten, toegang van de gebruiker gegevens over gezondheid, toegang tot privé-notities, en meer.
Voor de drie bugs gerapporteerd hij, Samsung bekroond met de onderzoeker een $13,300 beloning. In de laatste maand, de onderzoeker verzamelde ook een $25.000 bounty voor een Stoom-bug dat zou hebben toegestaan dat een aanvaller om een CD-keys voor een Steam game, ooit.
Meer zekerheid:
Schepen geïnfecteerd met ransomware, USB-malware, wormsFor de vierde maand op rij, Microsoft-patches van Windows zero-day gebruikt in de wildSuper Micro zegt externe security audit vond geen bewijs van backdoor chipsGoogle+ getroffen door de tweede API bug invloed van 52,5 miljoen euro usersHP biedt hackers $10.000 tot het vinden van bugs in haar printers TechRepublicFacebook nodigt onderzoekers met 40.000 dollar beloning voor rekening overname vulnerabilitiesThe rockstar hackers beschermen u tegen de bad guys CNETHackers kunnen maken van deze bug in bewakingscamera ‘ s om te knoeien met beelden
Verwante Onderwerpen:
Mobiliteit
Beveiliging TV
Data Management
CXO
Datacenters
0