Propust u Mozilla Find My Device omogućava hakerima brisanje podataka sa uređaja
Vesti, 26.10.2015, 00:00 AM
Hakeri mogu iskoristiti slabost u Firefoxovom alatu Find My Device da bi obrisali i zaključali Firefox OS na smart telefonima i promenili PIN.
Ovo je otkrio egipatski istraživač Muhamed Baset koji je pronašao slabost u Firefoxom Find My Device servisu.
Find My Device servis koji nude i Apple i Google omogućava vlasnicima smart telefona da odrede gde se nalazi njihov uređaj na karti, i da zaključaju svoje smart telefone u slučaju krađe. Prema tvrdnjama Baseta, ranjivosti u Mozillinom Find My Device servisu omogućacaju hakerima da izvedu napade kojima mogu da zaključavaju ekrane smart telefona koji koriste Firefox OS, da promene PIN kodove, da aktiviraju zvono telefona, pa čak i da obrišu sve podatke sa samo nekoliko klika.
Propust je sličan onom koji je isti istraživač otkrio prošle godine u Samsungovom Find My Mobile servisu. Ustvari, ovaj propust je varijanta CVE-2014-8346, bezbednosnog propusta koji je uticao na Samsungov servis Find My Mobile.
Baset kaže da je Nacionalni institut za standarde i tehnologiju dodelio CVSS (Common Vulnerability Scoring System) ocenu 7,8 na skali do 10 gde je 10 ocena za ranjivost koju je najlakše iskoristiti, čak i bez nekih posebnih tehničkih znanja.
Hakeri mogu iskoristiti ovaj propust učitavanjem Firefox Find My Device web sajta unutar skrivenog iframea na drugim sajtovima, putem osnovnih clickjasking tehnika. Haker bi mogao da izvede CSRF napade koji bi zaključali ili otključali ekran telefona, postavili novi PIN koji bi bio poznat samo napadaču, mogao bi da natera telefon da zvoni sa maskimalnom jačinom zvona čitav minut, pa čak i da postavi mod sa vribriranjem telefona ili bez zvona.
Propust takođe omogućava napadačima da izbrišu podatke sa telefona, što bez rezervne kopije podataka za korisnika može biti nerešiv problem.
Jedini izuzetak je to što da bi napad uspeo, haker mora da bude prijavljen sa Firefoxovog naloga, koji veoma mali broj njih koristi.
Baset je prijavio ovaj propust Mozilli u martu, ali on je tek prošle nedelje ispravljen.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade