Хакеры научились дистанционно взламывать смартфоны Samsung

Уязвимость в инструменте Find My Mobile от Samsung позволяет злоумышленникам удаленно получать доступ к мобильному устройству. Ресурс создан на случай, если пользователь лишится устройства (потеря или кража). Уязвимость заключается в том, что мобильное устройство Samsung не проверяет легальность источника, с которого прислан запрос Find My Mobile.

Обнаружил ошибку египетский эксперт Мохамед Басет. Подробную инструкцию эксплуатации уязвимости он опубликовал на YouTube, после чего она была занесена в базу NIST с кодом CVE-2014-8346 (рейтинг опасности составил 7,8 по десятибалльной шкале).

Find My Mobile дает возможность обладателю мобильного устройства удаленно выполнять некоторые действия над ним: отображать сообщения на дисплее, открывать журнал звонков, блокировать, активировать звонок, фиксировать местоположение на карте, удалять данные с накопителя и другое. Это позволяет облегчить процесс возврата устройства.

Как оказалось, технология слабо защищена. Если злоумышленнику удается получить доступ к устройству, он может выполнять ряд действий с устройством, например, отключить блокировку, активировать звонок или заблокировать телефон.

Функция звонка активирует динамик на максимальную громкость на 60 секунд (даже если установлен бесшумный режим). Также можно указать сообщение, которое необходимо вывести на дисплей. По замыслу разработчиков, данный функционал может помочь при поиске устройства.

Так что нет ничего вечного под луной, еще немного потренируются и хакеры смогут взломать хоть камины, но для них нужно будет оборудование помощьнее))). Стоит отметить, что уязвимости в платформе Find My iPhone обнаруживались и ранее. Предположительно схожая уязвимость использовалась для взлома аккаунтов Apple iCloud знаменитостей (инцидент произошел в августе). Тогда скомпрометированы были более 100 учетных записей. В сентябре представители Apple сообщили, что ошибка устранена.