El servicio Encontrar mi dispositivo de Firefox de Mozilla permite a los hackers borrar o bloquear teléfonos, cambiar PINs

Los hackers pueden explotar una vulnerabilidad en la herramienta Encontrar mi dispositivo de Firefox para borrar y bloquear teléfonos inteligentes que ejecutan Firefox OS, cambiar PIN

Los hackers pueden borrar datos de forma remota en teléfonos inteligentes que ejecutan Firefox OS. Esto fue revelado por el investigador de seguridad egipcio Mohamed A. Baset, quien descubrió una vulnerabilidad en el servicio Encontrar mi dispositivo de Firefox.

El servicio Encontrar mi dispositivo es ofrecido por Apple y Google y permite a los propietarios de teléfonos inteligentes localizar la ubicación de su dispositivo en un mapa y bloquear sus teléfonos inteligentes en caso de que sean robados. Según Baset, las vulnerabilidades en el servicio Encontrar mi dispositivo de Mozilla permitieron a los hackers llevar a cabo ataques que bloqueaban las pantallas de los teléfonos inteligentes que ejecutan Firefox OS, cambiar PINs, hacer que los dispositivos sonaran e incluso borrar todos los datos con solo unos pocos clics.

La vulnerabilidad es algo similar a una vulnerabilidad similar que Baset encontró el año pasado en el servicio Encontrar mi móvil de Samsung. De hecho, esta vulnerabilidad parece ser una variación de CVE-2014-8346, una vulnerabilidad de seguridad que afectó al servicio Encontrar mi móvil de Samsung.

Baset le dijo a Softpedia que el Instituto Nacional de Estándares y Tecnología asignó un puntaje CSVV (Sistema Común de Puntuación de Vulnerabilidades) de 7.8 en una escala de 10, donde 10 es la vulnerabilidad más fácil que se puede explotar sin habilidades técnicas elaboradas.

Los hackers pueden explotar la vulnerabilidad cargando el sitio web de Encontrar mi dispositivo de Firefox dentro de un iframe oculto en otros sitios, a través de técnicas básicas de clickjacking. Un hacker podría haber llevado a cabo ataques CSRF que bloquearían o desbloquearían la pantalla del teléfono, establecer un nuevo PIN conocido solo por el atacante, o hacer que el teléfono sonara al máximo volumen durante un minuto, incluso si está configurado en modo vibrar o silencio.

A diferencia de la vulnerabilidad de Encontrar mi móvil de Samsung, la que afecta al servicio de Firefox también permitió a los atacantes borrar los teléfonos por completo, lo que representa un mayor riesgo ya que se pueden perder datos valiosos si no se respaldan adecuadamente.

La única excepción es que para que este ataque tenga éxito, el hacker necesita haber iniciado sesión en el servicio con su cuenta de Firefox, que muy pocas personas utilizan.

Baset dijo que había informado de la vulnerabilidad a Mozilla en marzo, y Mozilla ha declarado que ha corregido el error el 21 de abril de 2015.

A continuación se muestra un video de YouTube del hack de Encontrar mi móvil de Samsung. El ataque de Encontrar mi dispositivo de Mozilla debería funcionar de manera similar.