To NIST, το Εθνικό Ινστιτούτο Πρότυπων και Τεχνολογίας, προειδοποιεί για ένα νέο πρόβλημα που εντοπίστηκε στην εφαρμογή Find My Mobile της Samsung, όπου δε μπορεί να πιστοποιηθεί η αυθεντικότητα του χρηστή που ζητά το κλείδωμα της συσκευής.
Η εφαρμογή αυτή προσφέρει ένα σωρό υπηρεσίες στους κατόχους Samsung κινητών, όπως να βρουν, να κλειδώσουν και να απενεργοποιήσουν τη χαμένη ή κλεμμένη συσκευή τους. Ο ειδικός ασφαλείας Mohamed Abdelbaset Elnob, από την Αίγυπτο, εντόπισε αυτό το πρόβλημα που επιτρέπει σε τρίτους να κλειδώσουν ή να ξεκλειδώσουν τη συσκεύη, ακόμη και να την κάνουν να χτυπήσει.
Αυτό γίνεται μέσω μιας HTML σελίδας και ονομάζεται Cross-Site Request Forgery (CSRF or XSRF), όπου ο χρήστης μεταφέρεται σε μια νέα σελίδα με κακόβουλο κώδικα. Από εκεί μπορεί οποιοσδήποτε να αποκτήσει πλήρη δικαιώματα στη συσκευή, όπως να αγοράσει κάτι, να δει τα στοιχεία του κατόχου, ακόμη και να τα αλλάξει.
Η πρώτη φορά που ο χρήστης θα ανοίξει το Link είναι και η πιο επικίνδυνη, αφού από εκεί και μετά μπορεί εύκολα κάποιος να αποκτήσει πρόσβαση στη συσκευή και να τη κλειδώσει, ώστε να οδηγήσουν το θύμα σε επαναφορά κωδικών μέσω του λογαριασμού στη Google.
Παρακάτω φαίνεται ο τρόπος με τον οποίο λειτουργεί η διαδικασία στην εφαρμογή “Find My Mobile”
To NIST αναγνώρισε το πρόβλημα αυτό, με το κωδικό CVE-2014-8346 και έδωσε βαθμό επικινδυνότητας 10.0.
