Уязвимость нулевого дня в Samsung Find My Mobile позволяет удаленно заблокировать смартфон пользователя

В сервисе Samsung Find My Mobile была обнаружена опасная уязвимость нулевого дня. По данным Computer World, проэксплуатировав ее, хакер сможет удаленно блокировать смартфон пользователя.

Сервис Find My Phone от Samsung позволяет удаленно управлять потерянным смартфоном. Так, пользователь может заблокировать девайс, совершить на него звонок, просмотреть список звонков, удалить с устройства все данные, а также зарегистрировать персонального помощника или подключить функцию уведомления при смене SIM-карты.

Функция удаленного управления, встроенная в Find My Phone, оказалась подвержена уязвимости. При ее использовании не осуществляется валидация источника переданного кода блокировки, что позволяет взломщикам заблокировать смартфон жертвы и вывести на дисплей устройства произвольное сообщение.

Уязвимости подвержены все смартфоны Samsung, пользователи которых подключили учетную запись Samsung и активировали функцию Find My Mobile. Простое открытие приложения Galaxy Apps, предустановленного на девайсах корейского производителя, может привести к тому, что смартфон станет подверженным бреши.

NIST предоставила два PoC-видео, созданных египетским исследователем Мухаммедом Басетом (Mohamed Baset). В них демонстрируется, как эксплуатация CSRF-уязвимостей (межсайтовой подделкой запросов) позволяет атакующему удаленно заблокировать или разблокировать смартфон, а также осуществить на него звонок.

Рекомендуем всем пользователям временно отключить функцию Find My Phone, поскольку ее дальнейшее использование представляет угрозу безопасности. Для этого зайдите в меню настроек смартфона, выберите пункт "Больше" - "Найти мой телефон" и отключите сервис.