Pratite nas preko RSS-aPropust u Mozilla Find My Device omogućava hakerima brisanje podataka sa uređaja
Vesti, 26.10.2015, 00:00 AM
Hakeri mogu iskoristiti slabost u Firefoxovom alatu Find My Device da bi obrisali i zaključali Firefox OS na smart telefonima i promenili PIN.
Ovo je otkrio egipatski istraživač Muhamed Baset koji je pronašao slabost u Firefoxom Find My Device servisu.
Find My Device servis koji nude i Apple i Google omogućava vlasnicima smart telefona da odrede gde se nalazi njihov uređaj na karti, i da zaključaju svoje smart telefone u slučaju krađe. Prema tvrdnjama Baseta, ranjivosti u Mozillinom Find My Device servisu omogućacaju hakerima da izvedu napade kojima mogu da zaključavaju ekrane smart telefona koji koriste Firefox OS, da promene PIN kodove, da aktiviraju zvono telefona, pa čak i da obrišu sve podatke sa samo nekoliko klika.
Propust je sličan onom koji je isti istraživač otkrio prošle godine u Samsungovom Find My Mobile servisu. Ustvari, ovaj propust je varijanta CVE-2014-8346, bezbednosnog propusta koji je uticao na Samsungov servis Find My Mobile.
Baset kaže da je Nacionalni institut za standarde i tehnologiju dodelio CVSS (Common Vulnerability Scoring System) ocenu 7,8 na skali do 10 gde je 10 ocena za ranjivost koju je najlakše iskoristiti, čak i bez nekih posebnih tehničkih znanja.
Hakeri mogu iskoristiti ovaj propust učitavanjem Firefox Find My Device web sajta unutar skrivenog iframea na drugim sajtovima, putem osnovnih clickjasking tehnika. Haker bi mogao da izvede CSRF napade koji bi zaključali ili otključali ekran telefona, postavili novi PIN koji bi bio poznat samo napadaču, mogao bi da natera telefon da zvoni sa maskimalnom jačinom zvona čitav minut, pa čak i da postavi mod sa vribriranjem telefona ili bez zvona.
Propust takođe omogućava napadačima da izbrišu podatke sa telefona, što bez rezervne kopije podataka za korisnika može biti nerešiv problem.
Jedini izuzetak je to što da bi napad uspeo, haker mora da bude prijavljen sa Firefoxovog naloga, koji veoma mali broj njih koristi.
Baset je prijavio ovaj propust Mozilli u martu, ali on je tek prošle nedelje ispravljen.
Izdvojeno
Lažni Gemini CLI i Claude Code sajtovi šire infostealer malvere
Istraživači kompanije EclecticIQ otkrili su novu kampanju u kojoj napadači koriste lažne sajtove koji se predstavljaju kao Google Gemini CLI i Ant... Dalje
Besplatna horor igra na Steamu pretvorila se u horor za igrače: malver krao lozinke i podatke iz kripto novčanika
Besplatna horor igra Beyond The Dark uklonjena je sa Steama nakon što su korisnici otkrili da je sadržala malver za krađu lozinki, podataka iz preg... Dalje
Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu
Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za gen... Dalje
MiniPlasma: stara ranjivost Windowsa ponovo aktuelna
Istraživač bezbednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadač... Dalje
Hakovan sajt popularnog JDownloadera, korisnici preuzimali trojanizovane instalere
Popularni menadžer za preuzimanje JDownloader nakratko je postao kanal za distribuciju malvera nakon što su napadači kompromitovali zvanični sajt ... Dalje
Pratite nas
Nagrade
Prijatelji
