三星“找回手机(Find My Mobile)”功能存在0Day漏洞

三星“找回手机(Find My Mobile)”功能存在0Day漏洞

黑客专题访客2021-10-12 1:53:003313A+A-

  美国国家标准与技术研究院(NIST)向广大用户发出了警告:三星手机“找回手机(Find my mobile)”功能存在0Day漏洞。

  关于Find My Mobile

  经三星公司修改后,找回手机(Find my mobile)功能已经变成了一种移动网络服务功能。三星用户可以对丢失的手机进行定位,远程设备设置警告,远程锁住手机。这样手机即使被偷走了,也没有人可以使用它。

  三星找回手机功能里的漏洞是由埃及信息安全专员Mohamed Abdelbaset Elnoby 发现的。该漏洞是一种跨站请求伪造(CSRF)攻击。攻击者可以利用这一漏洞远程控制锁住或者不锁住手机,甚至还可以设置手机铃声。

  攻击方式

  跨站请求伪造(缩写为CSRF或者XSRF)是通过欺骗受害者打开攻击者们精心设计的HTML页面而进行攻击的。事实上,攻击者是使用CSRF攻击去欺骗受害者打开包含未经授权的请求或者恶意软件的URL链接。

  恶意链接拥有和经授权的用户一样的特权,它可以任意的篡改受害者的信息,如篡改受害者的邮件地址,家庭住址,密码或者以受害者的名义去购物。CSRF通常都是攻击一些比较重要的功能,但也经常触及受害者的一些敏感信息。

  研究者还给出了一个POC视频,视频中就该漏洞是如何实施攻击的给出了详细的解释

  研究者指出,第一次远程攻击至关重要的。因为攻击者是用自己的锁码锁住受害者的手机,然后强制受害者登录谷歌账户恢复其原有的锁码。只有这样攻击者才能获得受害者的谷歌账号,进而获得受害者的其他信息。

  威胁等级

  美国国家标准与技术研究院(NIST)对三星的找回手机漏洞命名为CVE-2014-8346 ,并对其严重性等级标记为高等级,因此它的综合严重性得分是10.0。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 蓝殇花桑2022-05-30 06:03:44
  • 户可以对丢失的手机进行定位,远程设备设置警告,远程锁住手机。这样手机即使被偷走了,也没有人可以使用它。  三星找回手机功能里的漏洞是由埃及信息安全专员Mohamed Abdelbaset Elnoby 发现的。该漏洞是一种跨站请求伪造(CSRF)攻击。攻击者可以利用这一漏洞远
  • 竹祭揽月2022-05-30 03:38:34
  • bile)功能已经变成了一种移动网络服务功能。三星用户可以对丢失的手机进行定位,远程设备设置警告,远程锁住手机。这样手机即使被偷走了,也没有人可以使用它。  三星找回手机功能里的漏洞是由埃及信息安全专员Mohamed Abd
  • 蓝殇尢婠2022-05-30 11:55:00
  • 求伪造(CSRF)攻击。攻击者可以利用这一漏洞远程控制锁住或者不锁住手机,甚至还可以设置手机铃声。  攻击方式  跨站请求伪造(缩写为CSRF或者XSRF)是通过欺骗受

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理