Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / "Find my Mobile" de Samsung permite a un atacante bloquear el móvil

"Find my Mobile" de Samsung permite a un atacante bloquear el móvil

Por 1 Comment

Se ha anunciado una vulnerabilidad en la función «Find my mobile» de Samsung que podría permitir a un atacante remoto activar sus funcionalidades, de forma que podría hacer que suene o bloquearlo (con un código arbitrario).
 
La función «Find my Mobile» implementada por Samsung en sus dispositivos es un servicio web que proporciona a los usuarios de dispositivos Samsung características para localizar un dispositivo perdido o robado. Esta utilidad incluida también por otros fabricantes (como Apple o Microsoft), permite hacer sonar el dispositivo remoto, borrar su contenido o bloquearlo de forma remota para que nadie más puede conseguir acceso al dispositivo perdido.
El problema, descubierto por Mohamed A. Baset (@SymbianSyMoh), reside en una vulnerabilidad de Cross-Site Request Forgery (CSRF), que podría permitir a un atacante bloquear el dispositivo con un código de su elección. Básicamente, el atacante utilizará el ataque CSRF para engañar al usuario para acceder a un enlace o url que contiene peticiones maliciosas o no autorizadas. El atacante podrá llegar a bloquear el móvil del usuario con un código de su elección, lo que forzaría al usuario a realizar una recuperación del código de bloqueo a través de su cuenta Google.

El enlace malicioso tiene los mismos privilegios que el usuario autorizado para llevar a cabo una tarea no deseada en el nombre de la víctima. Las vulnerabilidades de Cross-site Request Forgery (CSRF) permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión  activa en esa web de otro usuario.

El investigador ha proporcionado pruebas de concepto en forma de vídeos que detallan como llevar a cabo el ataque y los efectos que puede tener. Se ha asociado el CVE-2014-8346 a esta vulnerabilidad. 
https://www.youtube.com/watch?v=YufuOYQoDOY

https://www.youtube.com/watch?v=Q3adkpOEjyI
Más incormación:
Vulnerability Summary for CVE-2014-8346
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8346
Samsung FindMyMobile Service Vulnerabilities Demonstration
https://www.youtube.com/watch?v=YufuOYQoDOY
Samsung FindMyMobile Service Vulnerabilities Demonstration Live
https://www.youtube.com/watch?v=Q3adkpOEjyI
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Reader Interactions

Comments

  1. ¿La venganza de Symbian: publicar la vulnerabilidad de un móvil Android? No parece que el investigador haya concedido mucho tiempo a Samsung para parchear la vulnerabilidad, al contrario, parece que la haya publicado inmediatamente tras descubrirla. ¿Venganza?
    P.S.: Sigue sin haber manera humana de publicar comentarios en Hispasec desde Firefox+NoScript, siempre tengo que abrir otro navegador.

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.