ทาง NIST (National Institute of Standards and Technology) ได้ออกมาเตือนผู้ใช้โทรศัพท์เคลื่อนที่ซัมซุงที่มีบร ิการ Find My Mobile ถึงช่องโหว่ระดับร้ายแรง ผ่านการ Cross-Site Request Forgery (CSRF) เพื่อหลอกเครื่องโทรศัพท์เป้าหมายว่าผู้ใช้ตัวจริงได ้คำสั่งล็อกเครื่องมาจากเว็บไซต์ Find My Mobile และส่งชุดคำสั่งไปทำงานยังเครื่องเป้าหมายโดยปลอมการ ยืนยันตัวตน
ผู้ค้นพบช่องโหว่ดังกล่าวคือคุณ Mohamed Abdelbaset Elnoby (@SymbianSyMoh) ผู้เชี่ยวชาญด้านความปลอดภัยจากประเทศอียิปต์ เขาได้ทดลองทำหน้าเว็บ Find My Mobile ปลอมขึ้นมาหลอกผู้ใช้ให้กดเข้าไป เมื่อเหยื่อกดเข้ามาแล้วชุดคำสั่งที่เขาเขียนขึ้นมาจ ะส่งการยืนยันตัวตนปลอมไปยังโทรศัพท์ จากนั้นแฮกเกอร์ก็จะสามารถปลอมการยืนยันตัวตนเพื่อเข ้าถึงและเปลี่ยนข้อมูลผู้ใช้ต่างๆ ไม่ว่าจะเปลี่ยนอีเมล ที่อยู่ เสียงริงโทน รหัสผ่าน สั่งซื้อของ หรือแม้กระทั่งเข้าถึงข้อมูลภายในโทรศัพท์
ทาง US-CERT/NIST ได้ระบุช่องโหว่ของระบบ Find My Mobile ของซัมซุงเป็นรหัส CVE-2014-8346 และมีระดับความร้ายแรงระดับ 10.0 อันถือว่าเป็นช่องโหว่ที่มีระดับความรุนแรงสูงที่สุด เนื่องจากช่องโหว่ดังกล่าวสามารถทำให้เครื่องเป้าหมา ยยุติการทำงานและเข้าถึงข้อมูลภายในเครื่องได้ทั้งหม ดและได้ทำวิดีโอแสดงการทำงานของชุดคำสั่งดังกล่าวคร่ าวๆ ไว้บน YouTube
ขณะนี้ซัมซุงยังไม่มีคำชี้แจงต่อช่องโหว่ดังกล่าวแต่ อย่างใดและ Find My Mobile ก็ยังเปิดให้บริการตามปกติ

ที่มา - The Hacker News
Samsung, Hacking, Mobile, NIST, Security




อ่านต่อ...