美国国家标准与技术研究院(NIST)向广大用户发出了警告:三星手机“找回手机(Find my mobile)”功能存在0Day漏洞。
关于Find My Mobile
经三星公司修改后,找回手机(Find my mobile)功能已经变成了一种移动网络服务功能。三星用户可以对丢失的手机进行定位,远程设备设置警告,远程锁住手机。这样手机即使被偷走了,也没有人可以使用它。
三星找回手机功能里的漏洞是由埃及信息安全专员Mohamed Abdelbaset Elnoby 发现的。该漏洞是一种跨站请求伪造(CSRF)攻击。攻击者可以利用这一漏洞远程控制锁住或者不锁住手机,甚至还可以设置手机铃声。
攻击方式
跨站请求伪造(缩写为CSRF或者XSRF)是通过欺骗受害者打开攻击者们精心设计的HTML页面而进行攻击的。事实上,攻击者是使用CSRF攻击去欺骗受害者打开包含未经授权的请求或者恶意软件的URL链接。
恶意链接拥有和经授权的用户一样的特权,它可以任意的篡改受害者的信息,如篡改受害者的邮件地址,家庭住址,密码或者以受害者的名义去购物。CSRF通常都是攻击一些比较重要的功能,但也经常触及受害者的一些敏感信息。
研究者还给出了一个POC视频,视频中就该漏洞是如何实施攻击的给出了详细的解释
研究者指出,第一次远程攻击至关重要的。因为攻击者是用自己的锁码锁住受害者的手机,然后强制受害者登录谷歌账户恢复其原有的锁码。只有这样攻击者才能获得受害者的谷歌账号,进而获得受害者的其他信息。
威胁等级
美国国家标准与技术研究院(NIST)对三星的找回手机漏洞命名为CVE-2014-8346 ,并对其严重性等级标记为高等级,因此它的综合严重性得分是10.0。