La fonction Trouver mon appareil de Mozilla Firefox permet aux hackers d'effacer ou de verrouiller des téléphones, de changer des codes PIN

Les hackers peuvent exploiter une vulnérabilité dans l’outil Trouver mon appareil de Firefox pour effacer et verrouiller les smartphones fonctionnant sous Firefox OS, changer le code PIN

Les hackers peuvent à distance effacer les données des smartphones fonctionnant sous Firefox OS. Cela a été révélé par le chercheur en sécurité égyptien Mohamed A. Baset qui a découvert une vulnérabilité dans le service Trouver mon appareil de Firefox.

Le service Trouver mon appareil est proposé par Apple et Google et permet aux propriétaires de smartphones de localiser leur appareil sur une carte et de verrouiller leurs smartphones en cas de vol. Selon Baset, les vulnérabilités dans le service Trouver mon appareil de Mozilla ont permis aux hackers de mener des attaques qui verrouillaient les écrans des smartphones fonctionnant sous Firefox OS, changeaient les codes PIN, faisaient sonner les appareils et même effaçaient toutes les données en seulement quelques clics.

La vulnérabilité est quelque peu similaire à une vulnérabilité similaire que Baset a trouvée l’année dernière dans le service Trouver mon mobile de Samsung. En fait, cette vulnérabilité semble être une variation de CVE-2014-8346, une vulnérabilité de sécurité qui a affecté le service Trouver mon mobile de Samsung.

Baset a déclaré à Softpedia que l’Institut national des normes et de la technologie avait attribué un score CSVV (Common Vulnerability Scoring System) de 7,8 sur une échelle de 10, où 10 est la vulnérabilité la plus facile qui peut être exploitée sans compétences techniques élaborées.

Les hackers peuvent exploiter la vulnérabilité en chargeant le site web Trouver mon appareil de Firefox à l’intérieur d’un iframe caché sur d’autres sites, via des techniques de clickjacking basiques. Un hacker aurait pu mener des attaques CSRF qui verrouilleraient ou déverrouilleraient l’écran du téléphone, définiraient un nouveau code PIN connu uniquement de l’attaquant, ou feraient sonner le téléphone à volume maximum pendant une minute, même s’il est réglé en mode vibreur ou silencieux.

Contrairement à la vulnérabilité de Samsung Trouver mon mobile, celle affectant le service de Firefox permet également aux attaquants d’effacer complètement les téléphones, ce qui pose un risque supplémentaire puisque des données précieuses peuvent être perdues si elles ne sont pas correctement sauvegardées.

La seule exception est que pour que cette attaque réussisse, le hacker doit être connecté au service avec son compte Firefox, ce que très peu de personnes utilisent.

Baset a déclaré qu’il avait signalé la vulnérabilité à Mozilla en mars, et Mozilla a déclaré avoir corrigé le bug le 21 avril 2015.

Ci-dessous se trouve une vidéo YouTube du hack de Samsung Trouver mon mobile. L’attaque de Mozilla Trouver mon appareil devrait fonctionner de manière similaire.