На официальном сайте Samsung можно было угнать аккаунты тремя разными способами
24 дек 2018 12:40 #75170
от ICT
Меняйте пароли или это сделают за вас Сайты в домене Samsung.comсодержали ряд уязвимостей, которые допускали кражу пользовательских мобильныхаккаунтов. Украинский исследовательбезопасности, профессиональный охотник за уязвимостями Артем Московский заявил, что нашел сразу три уязвимости типа CSFR(межсайтовая подделка запроса), которая позволяла производить сброс паролей кчужим аккаунтам. По словамМосковского, сайт Samsung.comнекорректно обрабатывал контрольные вопросы, используемые для переустановкипользовательских паролей. К настоящему времени проблемы устранены. Некорректная обработка В обычных условияхсоответствующее приложение должно проверять заголовок «referer»,чтобы удостовериться, что запрос отправляется с сайта, имеющего легитимныйдоступ. Но на Samsung.comмеханизм проверкиработал неправильно, так что эту информацию мог получить любой постороннийсайт.
Уязвимости на сайте Samsung позволяли красть аккаунты пользователей Из-за этогозлоумышленники могли шпионить за пользовательскими аккаунтами и менятьнекоторые данные, например имя пользователя, или даже отключать двухфакторнуюавторизацию и красть мобильные аккаунты, меняя пароли к ним. «Хотя удивительно,что такой гигант как Samsung допускает на своих ключевых сайтахстоль типичные уязвимости, в целом это показывает, что от подобных ошибок незастрахован никто, — считает МихаилЗайцев, эксперт по информационной безопасности компании SECConsultService.— Заодно это напоминание о том, что независимые “охотники за багами” — лучшиедрузья и корпораций, и конечных пользователей». Где две, там и три «Сначала я нашел двеуязвимости, — рассказалМосковский. — Затем, когда язалогинился на сайт security.samsungmobile.com, чтобы проверить реакцию на свое предыдущее сообщения, меня перебросили насайт редактирования персональных данных. Эта страница выглядела иначе, нежелиее аналог на account.samsung.com. Тамбыло дополнительное поле “секретный вопрос”». В итоге Московский выяснил,что и здесь содержится баг, позволяющий принудительно менять и контрольныйвопрос, и ответ на него. Описаннымуязвимостям были присвоены средняя, высокая и критическая степени угрозы. Завсе вместе Московский получил $13,3 тыс. — существенно меньше, чем он получилза одну критическую уязвимость в Steam в октябре 2018 г., когда сумманаграды
составила
$20 тыс.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Samsung Galaxy A6 Plus появился на официальном сайте компании | 18.88 | Пятница, 06 апреля 2018 |
Samsung Galaxy J7 (2018) появился официальном сайте компании | 18.68 | Пятница, 06 апреля 2018 |
OPPO R11s появился на официальном сайте | 15.31 | Четверг, 26 октября 2017 |
Сбербанк внедрил на официальном сайте платформу BackBase | 15.14 | Пятница, 03 апреля 2015 |
Характеристики BlackBerry DTEK60 появились на официальном сайте | 15.14 | Понедельник, 03 октября 2016 |
Xiaomi Redmi Pro 2 был замечен на официальном сайте компании | 15.14 | Понедельник, 15 мая 2017 |
Миллионы автомобилей можно угнать через мобильник | 14.8 | Понедельник, 20 февраля 2017 |
Оплата взысканий ФССП по системе «Город» доступна на официальном сайте ведомства | 14.67 | Вторник, 08 декабря 2015 |
В WhatsApp каждый чат теперь можно оформить разными обоями | 13.63 | Вторник, 01 декабря 2020 |
Слухи: Смартфоны Samsung Galaxy S6 могут поставляться с разными модулями камер | 12.17 | Понедельник, 04 мая 2015 |