Mozillas Firefox Find My Device ermöglicht Hackern, Telefone zu löschen oder zu sperren, PINs zu ändern

Hacker können Schwachstelle im Firefox Find My Device-Tool ausnutzen, um Firefox OS- Smartphones zu löschen und zu sperren, PINs zu ändern

Hacker können Daten auf Smartphones, die mit Firefox OS betrieben werden, aus der Ferne löschen. Dies wurde von dem ägyptischen Sicherheitsforscher Mohamed A. Baset aufgedeckt, der eine Schwachstelle im Firefox Find My Device-Dienst entdeckte.

Der Find My Device-Dienst wird von Apple und Google angeboten und ermöglicht es den Smartphone-Besitzern, den Standort ihres Geräts auf einer Karte zu bestimmen und ihre Smartphones im Falle eines Diebstahls zu sperren. Laut Baset ermöglichten Schwachstellen im Mozilla Find My Device-Dienst Hackern, Angriffe durchzuführen, die die Bildschirme von Smartphones mit Firefox OS sperrten, PINs änderten, die Geräte klingeln ließen und sogar alle Daten mit nur wenigen Klicks löschten.

Die Schwachstelle ist etwas ähnlich einer ähnlichen Schwachstelle, die Baset letztes Jahr im Samsung Find My Mobile-Dienst fand. Tatsächlich scheint diese Schwachstelle eine Variation von CVE-2014-8346 zu sein, einer Sicherheitsanfälligkeit, die den Samsung Find My Mobile-Dienst betraf.

Baset sagte gegenüber Softpedia, dass das National Institute of Standards and Technology eine CSVV (Common Vulnerability Scoring System)-Bewertung von 7,8 auf einer Skala von 10 zugewiesen hat, wobei 10 die am leichtesten ausnutzbare Schwachstelle ist, die ohne umfangreiche technische Fähigkeiten ausgenutzt werden kann.

Die Hacker können die Schwachstelle ausnutzen, indem sie die Firefox Find My Device-Website in einem versteckten iframe auf anderen Seiten laden, über grundlegende Clickjacking-Techniken. Ein Hacker hätte in der Lage sein können, CSRF-Angriffe durchzuführen, die den Bildschirm des Telefons sperren oder entsperren, eine neue PIN festlegen, die nur dem Angreifer bekannt ist, oder das Telefon für eine Minute mit maximaler Lautstärke klingeln lassen, selbst wenn es auf Vibration oder lautlos eingestellt ist.

Im Gegensatz zur Samsung Find My Mobile-Schwachstelle erlaubte die, die den Firefox-Dienst betrifft, den Angreifern auch, die Telefone vollständig zu löschen, was ein höheres Risiko darstellt, da wertvolle Daten verloren gehen können, wenn sie nicht ordnungsgemäß gesichert sind.

Die einzige Ausnahme ist, dass der Hacker für diesen Angriff eingeloggt sein muss, um den Dienst mit seinem Firefox-Konto zu nutzen, was nur sehr wenige Menschen tun.

Baset sagte, dass er die Schwachstelle im März an Mozilla gemeldet habe, und Mozilla erklärte, dass der Fehler am 21. April 2015 behoben wurde.

Unten ist ein YouTube-Video des Samsung Find My Mobile-Hacks. Der Mozilla Find My Device-Angriff sollte auf ähnliche Weise funktionieren.