三星「尋找我的手機」功能有零時差漏洞,可讓駭客遠端控制手機
# 訊息來源:iThome
http://www.ithome.com.tw/news/91946
# 好讀原文
埃及安全研究人員Mohamed A. Baset上傳的影片顯示
駭客可利用此一跨站冒名請求漏洞送出請求程式碼
藉此從遠端鎖住三星Galaxy智慧型手機螢幕、解鎖,或使手機發出鈴聲。
駭客甚至可以從遠端刪除手機上的資料。
美國國家標準技術研究所
(National Institute of Standards and Technology, NIST)
發布警告指出,三星手機的Find My Mobile(尋找我的手機)
服務中的遠端控制功能存在漏動,可讓駭客遠端鎖定或挾持手機。
「尋找我的手機」是三星為其智慧型手機提供的一項服務,
類似於蘋果的Find My iPhone,主要用於尋找或遠端控制使用者遺失的手機。
當手機遺失時,可利用這項服務為遺失的手機定位,
或者是遠端鎖住裝置讓其他人無法使用,
或者是不管手機設定讓手機以最大音量響鈴一分鐘。
根據美國國家漏洞資料庫CVE-2014-8346說明,
三星行動裝置的遠端控制(Remote Controls)功能並不會對網路上接收到的
鎖定代碼資料進行驗證,讓攻擊者得以從遠端發動不可預期的Find My Mobile
網路流量,導致拒絕服務,也就是可以任意程式碼鎖定其螢幕。
該漏洞的嚴重性,根據CVSS (Common Vulnerability Scoring System)
Base Core 為7.8分、影響分項分數6.9分、易攻擊性分項分數10.0分。
根據CVSS v2 Metrics來判定,這項漏洞的存取向量為網路攻擊型,
存取複雜性層級低、不需驗證即可進行攻擊。
NIST並提供兩項概念驗證攻擊的相關影片連結,
由埃及安全研究人員Mohamed A. Baset上傳的影片顯示,
駭客可利用此一跨站冒名請求(Cross-Site Request Forgery, CSRF)
漏洞送出請求程式碼,藉此從遠端鎖住三星Galaxy智慧型手機螢幕、解鎖,
或使手機發出鈴聲。駭客甚至可以從遠端刪除手機上的資料。
# 備註
有點宅宅的 Demo
http://youtu.be/Q3adkpOEjyI