Netsky75
Membre VIP
- Inscrit
- 19 Décembre 2012
- Messages
- 15 459
- Points
- 83
- #1
Une vulnérabilité du service « Find My Mobile » permet à un pirate malintentionné de verrouiller un terminal à distance. Aucun correctif n’est disponible pour l’instant.
Mauvaise semaine pour Samsung. Il y a quelques jours, un anonyme avait mis au jour des vulnérabilités dans Knox, le coffre-fort numérique qui permet de sécuriser des données sensibles sur un terminal Galaxy. Un hacker égyptien vient maintenant de faire la démonstration d’une faille critique zero-day dans « Find My Mobile », un service web du fournisseur sud-coréen qui permet aux utilisateurs de géolocaliser leur joujou en cas de perte ou de vol et, le cas échéant, de le bloquer ou de le faire sonner.
Le chercheur en sécurité Mohamed Abdelbaset Elnoby (alias @SymbianSyMoh) a trouvé un moyen d’activer ces fonctions au travers d’une attaque dite de « cross-site request forgery ». Lorsqu’un utilisateur est logué dans le service « findmymobile.samsung.com », il suffit qu’il clique sur une page HTML piégée - en occurrence un formulaire caché - pour qu’il se retrouve avec un smartphone totalement verrouillé.
Dans deux vidéos, le hacker égyptien montre le blocage de son propre smartphone depuis une page web. Dans le code malveillant, on voit qu’il a défini un code de blocage spécifique, assorti du message « Ce terminal a été verrouillé par @SymbianSymoh ». Il est également possible, avec la même attaque, de déverrouiller un smartphone ou de le faire sonner.
Cette attaque est possible, car le service web de Samsung n’effectue pas les vérifications nécessaires quant à l’origine des requêtes HTML. Cette faille a été référencée par le CERT-US/NIST sous le numéro CVE-2014-8346, avec un niveau de risque élevé. Jusqu’à présent, le fournisseur sud-coréen n’a pas fait de commentaires sur cette découverte. En attendant un correctif, et pour ne pas se faire piéger, le mieux est encore de désactiver cette fonction sur son smartphone.
Mauvaise semaine pour Samsung. Il y a quelques jours, un anonyme avait mis au jour des vulnérabilités dans Knox, le coffre-fort numérique qui permet de sécuriser des données sensibles sur un terminal Galaxy. Un hacker égyptien vient maintenant de faire la démonstration d’une faille critique zero-day dans « Find My Mobile », un service web du fournisseur sud-coréen qui permet aux utilisateurs de géolocaliser leur joujou en cas de perte ou de vol et, le cas échéant, de le bloquer ou de le faire sonner.
Le chercheur en sécurité Mohamed Abdelbaset Elnoby (alias @SymbianSyMoh) a trouvé un moyen d’activer ces fonctions au travers d’une attaque dite de « cross-site request forgery ». Lorsqu’un utilisateur est logué dans le service « findmymobile.samsung.com », il suffit qu’il clique sur une page HTML piégée - en occurrence un formulaire caché - pour qu’il se retrouve avec un smartphone totalement verrouillé.
Dans deux vidéos, le hacker égyptien montre le blocage de son propre smartphone depuis une page web. Dans le code malveillant, on voit qu’il a défini un code de blocage spécifique, assorti du message « Ce terminal a été verrouillé par @SymbianSymoh ». Il est également possible, avec la même attaque, de déverrouiller un smartphone ou de le faire sonner.
Cette attaque est possible, car le service web de Samsung n’effectue pas les vérifications nécessaires quant à l’origine des requêtes HTML. Cette faille a été référencée par le CERT-US/NIST sous le numéro CVE-2014-8346, avec un niveau de risque élevé. Jusqu’à présent, le fournisseur sud-coréen n’a pas fait de commentaires sur cette découverte. En attendant un correctif, et pour ne pas se faire piéger, le mieux est encore de désactiver cette fonction sur son smartphone.
S'il vous plaît,
Connexion
ou
S'inscrire
pour voir le contenu ou les urls !