Samsung Find My Mobile : Une faille zero day découverte !
Le NIST (National Institute of Standards and Technology) met en garde les utilisateurs du service Samsung Find My Mobile car il contient une vulnérabilité Zero-Day.
Ce service offert par Samsung sur ses appareils, est accessible en ligne et permet aux utilisateurs de localiser leurs appareils, de jouer une alerte sur un appareil à distance, et de verrouiller le smartphone à distance dans le but que personne ne puisse accéder au périphérique perdu.
Mohamed Abdelbaset Elnoby, un expert en sécurité Égyptien, est l'auteur de cette découverte. La faille est de type CSRF (Cross-Site Request Forgery) qui permet à un attaquant de verrouiller ou déverrouiller un appareil à distance, et même déclencher l'alarme.
Un mot sur la méthode CSRF : L'utilisateur charge une page HTML contenant du code malveillant nécessaire à l'exploit. Le lien malicieux dispose des mêmes privilèges que l'utilisateur qui l'a autorisé, il est donc possible de réaliser des tâches indésirables comme le changement de l'adresse e-mail, du mot de passe, etc.
Classée comme critique, cette faille (CVE-2014-8346) obtient le score d'exploitabilité de 10. D'après l'expert en sécurité, cette attaque est critique car le hacker peut verrouiller le périphérique de sa victime avec le code de verrouillage de son choix, ce qui force la victime à effectuer une restauration pour le code de verrouillage, avec son compte Google.
Voici une vidéo de démonstration :
