Tags:
Node Thumbnail

ทาง NIST (National Institute of Standards and Technology) ได้ออกมาเตือนผู้ใช้โทรศัพท์เคลื่อนที่ซัมซุงที่มีบริการ Find My Mobile ถึงช่องโหว่ระดับร้ายแรง ผ่านการ Cross-Site Request Forgery (CSRF) เพื่อหลอกเครื่องโทรศัพท์เป้าหมายว่าผู้ใช้ตัวจริงได้คำสั่งล็อกเครื่องมาจากเว็บไซต์ Find My Mobile และส่งชุดคำสั่งไปทำงานยังเครื่องเป้าหมายโดยปลอมการยืนยันตัวตน

ผู้ค้นพบช่องโหว่ดังกล่าวคือคุณ Mohamed Abdelbaset Elnoby (@SymbianSyMoh) ผู้เชี่ยวชาญด้านความปลอดภัยจากประเทศอียิปต์ เขาได้ทดลองทำหน้าเว็บ Find My Mobile ปลอมขึ้นมาหลอกผู้ใช้ให้กดเข้าไป เมื่อเหยื่อกดเข้ามาแล้วชุดคำสั่งที่เขาเขียนขึ้นมาจะส่งการยืนยันตัวตนปลอมไปยังโทรศัพท์ จากนั้นแฮกเกอร์ก็จะสามารถปลอมการยืนยันตัวตนเพื่อเข้าถึงและเปลี่ยนข้อมูลผู้ใช้ต่างๆ ไม่ว่าจะเปลี่ยนอีเมล ที่อยู่ เสียงริงโทน รหัสผ่าน สั่งซื้อของ หรือแม้กระทั่งเข้าถึงข้อมูลภายในโทรศัพท์

ทาง US-CERT/NIST ได้ระบุช่องโหว่ของระบบ Find My Mobile ของซัมซุงเป็นรหัส CVE-2014-8346 และมีระดับความร้ายแรงระดับ 10.0 อันถือว่าเป็นช่องโหว่ที่มีระดับความรุนแรงสูงที่สุดเนื่องจากช่องโหว่ดังกล่าวสามารถทำให้เครื่องเป้าหมายยุติการทำงานและเข้าถึงข้อมูลภายในเครื่องได้ทั้งหมดและได้ทำวิดีโอแสดงการทำงานของชุดคำสั่งดังกล่าวคร่าวๆ ไว้บน YouTube

ขณะนี้ซัมซุงยังไม่มีคำชี้แจงต่อช่องโหว่ดังกล่าวแต่อย่างใดและ Find My Mobile ก็ยังเปิดให้บริการตามปกติ

ที่มา - The Hacker News

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 28 October 2014 - 22:09 #758121
hisoft's picture

อีเมล์ => อีเมล

มีระดับความร้ายแรงระดับ 10.0 อันถือว่าเป็นความเสี่ยงสูงที่สุด

ระดับความร้ายแรง บอกถึงความเสี่ยง?

By: panurat2000
ContributorSymbianUbuntuIn Love
on 28 October 2014 - 22:15 #758123 Reply to:758121
panurat2000's picture

เพื่อหลอกเครื่องโทรศัพท์เป้าหมายว่าผู้ใช้ตัวจริงได้คำสั่งล็อคเครื่องมาจากเว็บไซต์

ล็อค => ล็อก

และได้ทำวิดีโอแสดงการทำงานของชุดคำสั่งดังกล่าวคร่าวๆ ไว้บน Youtube

Youtube => YouTube

ขณะนี้ซัมซุงยังไม่มีคำชี้แจงต่อช่องโหว่ดังกล่าวแต่อย่างได

แต่อย่างได => แต่อย่างใด