Pratite nas preko RSS-aPropust u Mozilla Find My Device omogućava hakerima brisanje podataka sa uređaja
Vesti, 26.10.2015, 00:00 AM
Hakeri mogu iskoristiti slabost u Firefoxovom alatu Find My Device da bi obrisali i zaključali Firefox OS na smart telefonima i promenili PIN.
Ovo je otkrio egipatski istraživač Muhamed Baset koji je pronašao slabost u Firefoxom Find My Device servisu.
Find My Device servis koji nude i Apple i Google omogućava vlasnicima smart telefona da odrede gde se nalazi njihov uređaj na karti, i da zaključaju svoje smart telefone u slučaju krađe. Prema tvrdnjama Baseta, ranjivosti u Mozillinom Find My Device servisu omogućacaju hakerima da izvedu napade kojima mogu da zaključavaju ekrane smart telefona koji koriste Firefox OS, da promene PIN kodove, da aktiviraju zvono telefona, pa čak i da obrišu sve podatke sa samo nekoliko klika.
Propust je sličan onom koji je isti istraživač otkrio prošle godine u Samsungovom Find My Mobile servisu. Ustvari, ovaj propust je varijanta CVE-2014-8346, bezbednosnog propusta koji je uticao na Samsungov servis Find My Mobile.
Baset kaže da je Nacionalni institut za standarde i tehnologiju dodelio CVSS (Common Vulnerability Scoring System) ocenu 7,8 na skali do 10 gde je 10 ocena za ranjivost koju je najlakše iskoristiti, čak i bez nekih posebnih tehničkih znanja.
Hakeri mogu iskoristiti ovaj propust učitavanjem Firefox Find My Device web sajta unutar skrivenog iframea na drugim sajtovima, putem osnovnih clickjasking tehnika. Haker bi mogao da izvede CSRF napade koji bi zaključali ili otključali ekran telefona, postavili novi PIN koji bi bio poznat samo napadaču, mogao bi da natera telefon da zvoni sa maskimalnom jačinom zvona čitav minut, pa čak i da postavi mod sa vribriranjem telefona ili bez zvona.
Propust takođe omogućava napadačima da izbrišu podatke sa telefona, što bez rezervne kopije podataka za korisnika može biti nerešiv problem.
Jedini izuzetak je to što da bi napad uspeo, haker mora da bude prijavljen sa Firefoxovog naloga, koji veoma mali broj njih koristi.
Baset je prijavio ovaj propust Mozilli u martu, ali on je tek prošle nedelje ispravljen.
Izdvojeno
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova
Hiljade lažnih onlajn apoteka koje prodaju kopije lekova širom sveta, uključujući i kopije popularnog Ozempica, leka za lečenje dijabetesa tipa ... Dalje
Rusija i Ukrajina na vrhu prvog svetskog indeksa sajber kriminala
.jpg)
Časopis PLOS ONE objavio je 10. aprila naučni rad pod nazivom „Mapiranje globalne geografije sajber kriminala sa svetskim indeksom sajber krim... Dalje
Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju
LastPass je objavio da su prevaranti pokušali da prevare jednog od zaposlenih u kompaniji koristeći lažnu glasovnu poruku izvršnog direktora Last... Dalje
Istraživanje otkriva da većina ljudi ima između 3 i 10 onlajn naloga, ali stvaran broj bi mogao biti i mnogo veći
Hteli to ili ne, onlajn nalozi su sada sastavni deo naših života. Broj naloga na mreži koje neko ima direktno je propcionalan šansi da postane žr... Dalje
Pratite nas
Nagrade
Prijatelji
