三星「尋找我的手機」功能有零時差漏洞，可讓駭客遠端控制手機
# 訊息來源：iThome
http://www.ithome.com.tw/news/91946
# 好讀原文
埃及安全研究人員Mohamed A. Baset上傳的影片顯示
駭客可利用此一跨站冒名請求漏洞送出請求程式碼
藉此從遠端鎖住三星Galaxy智慧型手機螢幕、解鎖，或使手機發出鈴聲。
駭客甚至可以從遠端刪除手機上的資料。
美國國家標準技術研究所
（National Institute of Standards and Technology, NIST）
發布警告指出，三星手機的Find My Mobile（尋找我的手機）
服務中的遠端控制功能存在漏動，可讓駭客遠端鎖定或挾持手機。
「尋找我的手機」是三星為其智慧型手機提供的一項服務，
類似於蘋果的Find My iPhone，主要用於尋找或遠端控制使用者遺失的手機。
當手機遺失時，可利用這項服務為遺失的手機定位，
或者是遠端鎖住裝置讓其他人無法使用，
或者是不管手機設定讓手機以最大音量響鈴一分鐘。
根據美國國家漏洞資料庫CVE-2014-8346說明，
三星行動裝置的遠端控制（Remote Controls）功能並不會對網路上接收到的
鎖定代碼資料進行驗證，讓攻擊者得以從遠端發動不可預期的Find My Mobile
網路流量，導致拒絕服務，也就是可以任意程式碼鎖定其螢幕。
該漏洞的嚴重性，根據CVSS （Common Vulnerability Scoring System）
Base Core 為7.8分、影響分項分數6.9分、易攻擊性分項分數10.0分。
根據CVSS v2 Metrics來判定，這項漏洞的存取向量為網路攻擊型，
存取複雜性層級低、不需驗證即可進行攻擊。
NIST並提供兩項概念驗證攻擊的相關影片連結，
由埃及安全研究人員Mohamed A. Baset上傳的影片顯示，
駭客可利用此一跨站冒名請求（Cross-Site Request Forgery, CSRF）
漏洞送出請求程式碼，藉此從遠端鎖住三星Galaxy智慧型手機螢幕、解鎖，
或使手機發出鈴聲。駭客甚至可以從遠端刪除手機上的資料。
# 備註
有點宅宅的 Demo
http://youtu.be/Q3adkpOEjyI

太遜了,要可以下載私密照才強,像icloud

三星最近屋漏偏逢連夜雨

這功能不是還蠻多廠商都有嗎？為啥三星會弄成這樣啊= =

還是小米好,不用APP就24小時監控,想掉都掉不了..

只要問習 任何一支小米手機的位置馬上找到

http://www.idownloadblog.com/2014/09/01/icloud-hacking-pa平衡報導三星就算了 蘋果還滿令人意外的