miércoles, 3 de diciembre de 2014

CSRF en Find My Phone de Samsung

Esto es de lo último que ha ocurrido en Seguridad Móvil y que nosotros desde SoftCrim ya hemos probado. El tema trata de un CSRF en las opciones de Find My Phone de Samsung, opción que permiten también Microsoft y Apple, y que los chicos de Samsung han implementado también.

Figura 1: CSRF en Find My Phone de Samsung

El tema consiste en un simple CSRF, que cómo sabréis consiste en algo parecido a un exploit malicioso que un atacante empleando unos comandos que elija. Por supuesto, estos comandos no están autorizados. Pero esta opción que parece tan buena para poder borrar contenido remotamente, o saber dónde tienes el dispositivo que has perdido o te han robado, puede ser bastante mala en cuanto aprovechan esta vulnerabilidad para bloquear el terminal simplemente haciendo que la víctima acceda a una web maliciosa y en ese momento quede ya infectado y sea vulnerable a este ataque, que consigue que el atacante tenga los mismos privilegios y esté igual de autorizado que la víctima. ¿Quién dijo miedo?

Figura 2: Opciones de Find My Phone 

Ya por no hablar de que puedan borrar contenido de tu terminal móvil sin tu consentimiento, o que se descarguen tus fotos o mil y una cosa más que pueden hacer este mundo donde hay tantos caminos que parchear y securizar.

Hasta la Próxima Malvados, un HandShake amistoso!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...