La funzione Trova il mio dispositivo di Firefox di Mozilla consente agli hacker di cancellare o bloccare i telefoni, cambiare i PIN

Gli hacker possono sfruttare una vulnerabilità nello strumento Trova il mio dispositivo di Firefox per cancellare e bloccare smartphone con Firefox OS, cambiare il PIN

Gli hacker possono cancellare i dati da remoto su smartphone che eseguono Firefox OS. Questo è stato rivelato dal ricercatore di sicurezza egiziano Mohamed A. Baset, che ha scoperto una vulnerabilità nel servizio Trova il mio dispositivo di Firefox.

Il servizio Trova il mio dispositivo è offerto da Apple e Google e consente ai proprietari di smartphone di individuare la posizione del proprio dispositivo sulla mappa e di bloccare i loro smartphone nel caso vengano rubati. Secondo Baset, le vulnerabilità nel servizio Trova il mio dispositivo di Mozilla hanno consentito agli hacker di effettuare attacchi che bloccavano gli schermi degli smartphone che eseguono Firefox OS, cambiavano i PIN, facevano squillare i dispositivi e persino cancellavano tutti i dati con solo pochi clic.

La vulnerabilità è in qualche modo simile a una vulnerabilità simile che Baset ha trovato l’anno scorso nel servizio Trova il mio mobile di Samsung. Infatti, questa vulnerabilità sembra essere una variazione di CVE-2014-8346, una vulnerabilità di sicurezza che ha colpito il servizio Trova il mio mobile di Samsung.

Baset ha detto a Softpedia che il National Institute of Standards and Technology ha assegnato un punteggio CSVV (Common Vulnerability Scoring System) di 7.8 sulla scala di 10, dove 10 è la vulnerabilità più facile che può essere sfruttata senza abilità tecniche elaborate.

Gli hacker possono sfruttare la vulnerabilità caricando il sito web Trova il mio dispositivo di Firefox all’interno di un iframe nascosto su altri siti, tramite tecniche di clickjacking di base. Un hacker sarebbe stato in grado di effettuare attacchi CSRF che avrebbero bloccato o sbloccato lo schermo del telefono, impostato un nuovo PIN noto solo all’attaccante, o far squillare il telefono al massimo volume per un minuto, anche se impostato in modalità vibrazione o silenziosa.

A differenza della vulnerabilità del servizio Trova il mio mobile di Samsung, quella che colpisce il servizio di Firefox ha anche consentito agli attaccanti di cancellare completamente i telefoni, il che comporta un rischio maggiore poiché dati preziosi possono andare persi se non vengono correttamente salvati.

L’unica eccezione è che per questo attacco avere successo, l’hacker deve essere connesso al servizio con il proprio account Firefox, che molto poche persone utilizzano.

Baset ha dichiarato di aver segnalato la vulnerabilità a Mozilla a marzo, e Mozilla ha dichiarato di aver corretto il bug il 21 aprile 2015.

Di seguito è riportato un video di YouTube dell’hack del servizio Trova il mio mobile di Samsung. L’attacco Trova il mio dispositivo di Mozilla dovrebbe funzionare in modo simile.