SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Три CSRF-бреши позволяли получить полный контроль над аккаунтами Samsung

13 декабря 2018 г., четверг, 12:15

Украинский исследователь в области безопасности Артем Московский рассказал о баге, который позволял получить полный контроль над аккаунтами пользователей Samsung. Злоумышленник мог использовать эту брешь, просто заставив жертву перейти по вредоносной ссылке.

Проблема была в наличии банальной уязвимости CSRF («межсайтовая подделка запроса») — атакующий мог выполнить скрытые команды на сайте Samsung в то время, когда пользователь находится на злонамеренном ресурсе.

По словам Московского, ему удалось обнаружить целых три уязвимости CSRF в системе управления аккаунтами Samsung. Первая из этих проблем открывала возможность для изменения деталей профиля.

Вторая позволяла злоумышленнику отключить двухфакторную аутентификацию, а третья — изменить вопросы безопасности, которые установил владелец профиля. Именно последняя проблема позволяла получить полный контроль над учетной записью жертвы.

Например, злоумышленник мог инициировать процедуру восстановления пароля с помощью ответов на вопросы безопасности. При этом, если пользователь настроил двухфакторную аутентификацию, ее также можно было отключить.

О наличии проблемы Московский сообщил Samsung в этом месяце. Корпорация вознаградила исследователя, выплатив ему $13 300.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.077
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.