1. XenForo 1.5.14 中文版——支持中文搜索!现已发布!查看详情
  2. Xenforo 爱好者讨论群:215909318 XenForo专区

科技 [视频]美NIST警告三星智能手机的找回功能存0-day漏洞

本帖由 漂亮的石头2014-10-28 发布。版面名称:新闻聚焦

  1. 漂亮的石头

    漂亮的石头 版主 管理成员

    注册:
    2012-02-10
    帖子:
    488,438
    赞:
    48
    美国国家标准与技术研究院(NIST)发布警告称,三星智能手机的找回功能"Find My Mobile"存0-day漏洞,被黑客发现后将可直接远程锁定他人三星手机,解锁、响铃等。甚至可以直接定位用户手机,擦除数据,获得登录登出信息等。 该漏洞类型为Cross-Site Request Forgery(CSRF),根据通用漏洞评分系统CVSS,NIST定义该漏洞总体危险程度为7.8,并用视频演示了在三星手机上利用该CSRF漏洞的效果。

    [​IMG]

    不过Find My Mobile服务在三星手机上默认并没开启,需要用户注册三星账号并开启相关服务。根据CVSS评分该漏洞基础值(BASE)为7.8分,影响为6.9分,可利用性为10分。NITS称,该远程找回功能并不会确认发送锁定码的源头使用的网络,攻击者能够轻易发起强制锁定服务(比如需要密码启用强制锁屏),难以被追踪到发起者的网络数据。​

    随后攻击者可以使用“定位设备”功能显示被攻击者手机定位信息,此外还能使用"响铃"等功能。​



    [​IMG]

    [​IMG]
     
正在加载...