Nul
Hackere kunne have taget over en Samsung-konto blot ved at narre en bruger til at få adgang til et ondsindet link, en sikkerhedsekspert fortalte ZDNet i går.
Den sårbarhed har nu været fast efter den forsker, ukrainske bug bounty hunter Artem Moskowsky, rapporterede problem, at Samsung i denne måned.
I hjertet af denne Samsung-konto spørgsmålet er hvad sikkerhed, eksperter kalder en cross-site request forgery (CSRF) sårbarhed. Forklaret i almindelige ord, og denne sårbarhed gør det muligt for en hacker mulighed for at narre en brugers browser til at udføre skjulte kommandoer på andre websteder, som brugeren er logget på i øjeblikket, men samtidig på hackerens websted.
Moskowsky fortalte ZDNet, at han identificeret tre CSRF spørgsmål i Samsung account management system.
Den første ville have gjort det muligt for en hacker at ændre profiloplysninger, den anden ville have gjort det muligt for en hacker at deaktivere to-faktor-autentificering, mens den tredje ville have gjort det muligt for en hacker at ændre brugerens konto sikkerhed spørgsmål.
Mens de var alle tre vigtige spørgsmål, og den tredje kunne have været brugt til at overtage en konto. Moskowsky fortalte ZDNet, at en angriber kunne have lokket en bruger i at få adgang til et ondsindet link, der ville have ændret brugerens sikkerhed spørgsmål og de tilhørende svar.
Den hacker har så forsøgt at logge ind på brugerens konto ved hjælp af, at brugerens e-mail-adresse og indlede et password recovery-kodeord, der var afhængige af den nu-plettet spørgsmål om sikkerhed. Med en ny adgangskode i hånd, hackeren kan derefter få adgang til brugerens Samsung-konto.
For god foranstaltning, hvis den konto, der ville have brugt to-faktor autentificering, der kunne have været deaktiveret på samme tid, de bruger adgang til ondsindet link.
Adgang til en Samsung-konto, kan give en hacker mulighed for at spore brugerens bevægelser via den Finde Min Enhed har, kontrollere brugerens inter-connected smart udstyr, adgang til brugerens sundhed data, få adgang til private noter og meget mere.
For de tre fejl, rapporterede han, Samsung tildelt en forsker $13,300 belønning. I sidste måned forsker, der også indsamlet en $25.000 bounty til en Damp fejl, der ville have gjort det muligt for en hacker at få nogen CD-nøgler til alle Steam spil, nogensinde.
Mere sikkerhed dækning:
Skibe, der er inficeret med ransomware, USB-malware, wormsFor fjerde måned i træk, Microsoft lapper Windows nul-dag anvendes i wildSuper Micro siger eksterne sikkerhed revision fandt ingen beviser på, at bagdør chipsGoogle+ ramt af andet API fejl, der påvirker 52.5 millioner usersHP tilbyder hackere $10.000 til at finde fejl i sin printere TechRepublicFacebook lokker forskere med $40,000 belønning for konto overtagelse vulnerabilitiesThe rockstar hackere at beskytte dig fra det onde CNETHackers kan udnytte denne fejl i overvågningskameraer for at manipulere med optagelser
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre
0