Ο ερευνητής ασφαλείας Mohamed A. Baset ανακάλυψε μια σοβαρή ευπάθεια στην υπηρεσία FindMyDevice της Firefox, η οποία μπορεί να επιτρέψει την πραγματοποίηση επιθέσεων hacking σε συσκευές με λειτουργικό Firefox OS.
Πιο συγκεκριμένα, η επιτυχής αξιοποίηση της ευπάθειας μπορεί να επιτρέψει σε επιτιθέμενους να κλειδώσουν τις οθόνες των ευάλωτων smartphones, να αλλάξουν κωδικούς pin, να κάνουν τις συσκευές να “χτυπούν”, ακόμη και να διαγράψουν δεδομένα, με ελάχιστα μόλις clicks.
[alert variation=”alert-success”]Η υπηρεσία FindMyDevice της Firefox, βοηθά τους χρήστες να εντοπίσουν την χαμένη ή κλεμμένη συσκευή τηλεφώνου τους, δίνοντάς τους τη δυνατότητα να την κλειδώσουν, να δουν την τοποθεσία της στο χάρτη, να διαγράψουν δεδομένα από αυτή, καθώς και πλήθος άλλων λειτουργιών.[/alert]
Βάσει του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (ΝIST), η συγκεκριμένη ευπάθεια είναι πλήρως εκμεταλλεύσιμη, και για την επιτυχή αξιοποίησή της δεν απαιτείται υψηλό επίπεδο κατάρτισης από τους εισβολείς.
Σύμφωνα με τα ευρήματα του ερευνητή Mohamed A. Baset, μεταφορτώνοντας την ιστοσελίδα του FindΜyDevice μέσα σε ένα κρυφό iframe, σε δικτυακούς ιστότοπους τρίτων – μέσω της χρήσης βασικών τεχνικών Clickjacking – ένας χάκερ θα ήταν σε θέση να πραγματοποιήσει επιθέσεις, κλειδώνοντας ή ξεκλειδώνοντας την οθόνη του τηλεφώνου, θέτοντας ένα νέο PIN το οποίο θα γνωρίζει φυσικά μόνο ο ίδιος ή κάνοντας το τηλέφωνο να χτυπήσει στην μέγιστη ένταση για ένα λεπτό, ακόμη και αν βρίσκεται σε δόνηση ή σε αθόρυβη λειτουργία.
Όπως επισημαίνει ο ερευνητής, η ευπάθεια αυτή θα μπορούσε να επιτρέψει ακόμη και την οριστική διαγραφή όλων των δεδομένων από τις ευπαθείς συσκευές, ενώ μέσω της δημιουργίας ενός ειδικά σχεδιασμένου web interface θα μπορούσε να αξιοποιηθεί για το ξεκλείδωμα μιας συσκευής προστατευμένης με PIN, με το πάτημα ενός μόνο κουμπιού.
[alert variation=”alert-info”]Η ευπάθεια αναφέρθηκε στην Mozilla τον Μάρτιο, και επιδιορθώθηκε μόλις εχθές.[/alert]
