Samsung Find My Mobile : Une faille zero day découverte !

Le NIST (National Institute of Standards and Technology) met en garde les utilisateurs du service Samsung Find My Mobile car il contient une vulnérabilité Zero-Day.

Ce service offert par Samsung sur ses appareils, est accessible en ligne et permet aux utilisateurs de localiser leurs appareils, de jouer une alerte sur un appareil à distance, et de verrouiller le smartphone à distance dans le but que personne ne puisse accéder au périphérique perdu.

Samsung Find My Mobile

Mohamed Abdelbaset Elnoby, un expert en sécurité Égyptien, est l'auteur de cette découverte. La faille est de type CSRF (Cross-Site Request Forgery) qui permet à un attaquant de verrouiller ou déverrouiller un appareil à distance, et même déclencher l'alarme.

Un mot sur la méthode CSRF : L'utilisateur charge une page HTML contenant du code malveillant nécessaire à l'exploit. Le lien malicieux dispose des mêmes privilèges que l'utilisateur qui l'a autorisé, il est donc possible de réaliser des tâches indésirables comme le changement de l'adresse e-mail, du mot de passe, etc.

Classée comme critique, cette faille (CVE-2014-8346) obtient le score d'exploitabilité de 10. D'après l'expert en sécurité, cette attaque est critique car le hacker peut verrouiller le périphérique de sa victime avec le code de verrouillage de son choix, ce qui force la victime à effectuer une restauration pour le code de verrouillage, avec son compte Google.

Voici une vidéo de démonstration :

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian has 2046 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.