O recurso Encontrar Meu Dispositivo do Firefox da Mozilla permite que hackers apaguem ou bloqueiem telefones, mudem PINs

Hackers podem explorar vulnerabilidade na ferramenta Encontrar Meu Dispositivo do Firefox para apagar e bloquear smartphones que rodam Firefox OS, mudar PIN

Hackers podem apagar remotamente dados em smartphones que rodam Firefox OS. Isso foi revelado pelo pesquisador de segurança egípcio Mohamed A. Baset, que descobriu uma vulnerabilidade no serviço Encontrar Meu Dispositivo do Firefox.

O serviço Encontrar Meu Dispositivo é oferecido pela Apple e Google e permite que os proprietários de smartphones localizem a posição de seus dispositivos no mapa e bloqueiem seus smartphones em caso de roubo. De acordo com Baset, vulnerabilidades no serviço Encontrar Meu Dispositivo da Mozilla permitiram que hackers realizassem ataques que bloqueavam as telas de smartphones que rodam Firefox OS, mudassem PINs, fizessem os dispositivos tocarem e até apagassem todos os dados com apenas alguns cliques.

A vulnerabilidade é um pouco semelhante a uma vulnerabilidade semelhante que Baset encontrou no ano passado no serviço Encontrar Meu Celular da Samsung. Na verdade, essa vulnerabilidade parece ser uma variação da CVE-2014-8346, uma vulnerabilidade de segurança que afetou o serviço Encontrar Meu Celular da Samsung.

Baset disse à Softpedia que o Instituto Nacional de Padrões e Tecnologia atribuiu uma pontuação CSVV (Sistema Comum de Pontuação de Vulnerabilidade) de 7,8 na escala de 10, onde 10 é a vulnerabilidade mais fácil que pode ser explorada sem habilidades técnicas elaboradas.

Os hackers podem explorar a vulnerabilidade carregando o site Encontrar Meu Dispositivo do Firefox dentro de um iframe oculto em outros sites, por meio de técnicas básicas de clickjacking. Um hacker poderia ter realizado ataques CSRF que bloqueassem ou desbloqueassem a tela do telefone, definissem um novo PIN conhecido apenas pelo atacante ou fizessem o telefone tocar no volume máximo por um minuto, mesmo que configurado em modo vibrar ou silencioso.

Ao contrário da vulnerabilidade do Encontrar Meu Celular da Samsung, a que afeta o serviço do Firefox também permitiu que os atacantes apagassem os telefones, o que representa mais risco, uma vez que dados valiosos podem ser perdidos se não forem devidamente salvos.

A única exceção é que, para que esse ataque tenha sucesso, o hacker precisa estar logado no serviço com sua conta do Firefox, o que muito poucas pessoas usam.

Baset disse que havia relatado a vulnerabilidade à Mozilla em março, e a Mozilla declarou que corrigiu o erro em 21 de abril de 2015.

Abaixo está um vídeo do YouTube do hack do Encontrar Meu Celular da Samsung. O ataque do Encontrar Meu Dispositivo da Mozilla deve funcionar de maneira semelhante.