MozillaのFirefox Find My Deviceはハッカーが電話を消去またはロックし、PINを変更できる

ハッカーはFirefox Find My Deviceツールの脆弱性を悪用して、Firefox OSを搭載したスマートフォンのデータを消去し、ロックし、PINを変更できる

ハッカーはFirefox OSを搭載したスマートフォンのデータをリモートで消去することができます。これは、エジプトのセキュリティ研究者モハメド・A・バセットがFirefox Find My Deviceサービスの脆弱性を発見したことによって明らかになりました。

Find My DeviceサービスはAppleとGoogleによって提供されており、スマートフォンの所有者がデバイスの位置を地図上で特定し、盗まれた場合にスマートフォンをロックすることを可能にします。バセットによると、MozillaのFind My Deviceサービスの脆弱性により、ハッカーはFirefox OSを搭載したスマートフォンの画面をロックし、PINを変更し、デバイスを鳴らし、わずか数回のクリックで全データを消去する攻撃を実行できるようになりました。

この脆弱性は、バセットが昨年発見したSamsungのFind My Mobileサービスの脆弱性にやや似ています。実際、この脆弱性はCVE-2014-8346の変種であるようで、これはSamsungのFind My Mobileサービスに影響を与えたセキュリティ脆弱性です。

バセットはSoftpediaに対し、米国国立標準技術研究所がこの脆弱性に対して10点満点中7.8のCSVV（共通脆弱性スコアリングシステム）スコアを付けたと述べました。10は最も簡単な脆弱性であり、詳細な技術スキルなしで悪用可能です。

ハッカーは、基本的なクリックジャッキング技術を介して、他のサイトの隠しiframe内にFirefox Find My Deviceウェブサイトを読み込むことで脆弱性を悪用できます。ハッカーは、電話の画面をロックまたはロック解除するCSRF攻撃を実行したり、攻撃者のみが知っている新しいPINを設定したり、振動またはサイレントモードに設定されていても、電話を最大音量で1分間鳴らすことができました。

SamsungのFind My Mobileの脆弱性とは異なり、Firefoxのサービスに影響を与える脆弱性は、攻撃者が電話を完全に消去することも可能にしました。これは、適切にバックアップされていない場合、貴重なデータが失われるリスクが高まります。

唯一の例外は、この攻撃が成功するためには、ハッカーが自分のFirefoxアカウントでサービスにログインしている必要があることです。これを利用している人は非常に少数です。

バセットは、彼が3月にMozillaにこの脆弱性を報告したと述べ、Mozillaは2015年4月21日にバグを修正したと述べています。

以下はSamsung Find My MobileハックのYouTube動画です。Mozilla Find My Device攻撃も同様の方法で機能するはずです。