Bugg tillåtna full övertagande av Samsung användarkonton

0
119

Noll

samsungaccount.png

Hackare kunde ha tagit över alla Samsung-konto bara genom att lura en användare att öppna en skadlig länk, en säkerhetsforskare berättade ZDNet igår.

Sårbarheten har nu rättats till efter den forskare, ukrainska bug bounty hunter Artem Moskowsky, rapporterade frågan till Samsung denna månad.

I hjärtat av denna Samsung-konto frågan är vilken säkerhet som experterna kallar en cross-site request forgery (CSRF) sårbarhet. Det förklaras i låg form, denna sårbarhet gör det möjligt för en angripare att lura en användarens webbläsare till verkställande dolda kommandon på andra webbplatser användaren är inloggad, men även på angriparens webbplats.

Moskowsky berättade ZDNet att han identifierade tre CSRF-frågor i Samsung: s account management system.

Den första skulle ha gjort det möjligt för en angripare att ändra detaljer i profil, den andra skulle ha gjort det möjligt för en angripare att inaktivera två-faktor autentisering, medan den tredje skulle ha gjort det möjligt för en angripare att ändra användarens konto säkerhetsfråga.

När alla tre var viktiga frågor, den tredje kunde ha använts för att ta över ett konto. Moskowsky berättade ZDNet att en angripare kan ha lurat en användare att öppna en skadlig länk som skulle ha ändrat användarens säkerhet fråga och respektive svar.

Angriparen har sedan försökt logga in på användarens konto med hjälp av användarens e-postadress och initiera en återställning av lösenord lösenordet som byggde på att det nu är-förgiftade säkerhetsfråga. Med ett nytt lösenord i hand, angriparen kan sedan komma åt användarens Samsung-konto.

För bra åtgärd, om kontot skulle ha använt två-faktor autentisering, som kan ha inaktiverats på samma gång användaren åtkomst till skadliga länkar.

Tillgång till ett Samsung-konto kan tillåta en angripare att följa en användares rörelser via Hitta Min Enhet har, styra användarens inter-connected smarta enheter, åt användarens data hälsa, få tillgång till privata anteckningar och mycket mer.

För tre buggar, rapporterade han, Samsung tilldelas forskaren en $13,300 belöning. Förra månaden, forskaren också in en $25,000 bounty för en Ånga bugg som skulle ha gjort det möjligt för en angripare att få någon CD-nycklar för alla Steam spel, någonsin.

Mer trygghet:

Fartyg infekterade med ransomware, USB-malware, wormsFor den fjärde månaden i rad, Microsoft patchar för Windows zero-day som används i wildSuper Micro, säger yttre säkerhet revision funnit några bevis för bakdörr chipsGoogle+ träff med andra API bugg som påverkar 52,5 mkr usersHP erbjuder hackare och få $10,000 att hitta fel i sina skrivare TechRepublicFacebook lockar forskare med 40 000 dollar i belöning för konto övertagande vulnerabilitiesThe rockstar hackare att skydda dig från det onda CNETHackers kan utnyttja denna bugg i övervakningskameror för att mixtra med bilder

Relaterade Ämnen:

Rörlighet

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0