Уязвимость в Firefox Find My Device позволяет хакерам стирать или блокировать телефоны, менять PIN-коды

Хакеры могут использовать уязвимость в инструменте Firefox Find My Device для стирания и блокировки смартфонов на базе Firefox OS, изменения PIN-кодов

Хакеры могут удаленно стереть данные на смартфонах, работающих на Firefox OS. Об этом сообщил египетский исследователь безопасности Мохамед А. Басет, который обнаружил уязвимость в сервисе Firefox Find My Device.

Сервис Find My Device предлагается Apple и Google и позволяет владельцам смартфонов определить местоположение своего устройства на карте и заблокировать свои смартфоны в случае их кражи. По словам Басета, уязвимости в сервисе Mozilla Find My Device позволили хакерам проводить атаки, которые блокировали экраны смартфонов на базе Firefox OS, изменяли PIN-коды, заставляли устройства звонить и даже стирали все данные всего за несколько кликов.

Уязвимость отчасти похожа на аналогичную уязвимость, которую Басет обнаружил в прошлом году в сервисе Samsung Find My Mobile. На самом деле, эта уязвимость, похоже, является вариацией CVE-2014-8346, уязвимости безопасности, которая затронула сервис Samsung Find My Mobile.

Басет сообщил Softpedia, что Национальный институт стандартов и технологий присвоил уязвимости оценку CSVV (Система оценки общих уязвимостей) 7.8 по шкале от 10, где 10 — это самая простая уязвимость, которую можно использовать без сложных технических навыков.

Хакеры могут использовать уязвимость, загружая веб-сайт Firefox Find My Device внутри скрытого iframe на других сайтах с помощью базовых техник кликджекинга. Хакер мог бы провести атаки CSRF, которые заблокировали бы или разблокировали экран телефона, установили новый PIN, известный только атакующему, или заставили телефон звонить на максимальной громкости в течение одной минуты, даже если он был установлен в режим вибрации или без звука.

В отличие от уязвимости Samsung Find My Mobile, уязвимость, затрагивающая сервис Firefox, также позволяла злоумышленникам полностью стереть данные с телефонов, что создает больший риск, поскольку ценная информация может быть потеряна, если не была должным образом сохранена.

Единственное исключение заключается в том, что для успешной атаки хакер должен быть авторизован в сервисе с помощью своей учетной записи Firefox, что очень немногие люди делают.

Басет сообщил, что он сообщил о уязвимости Mozilla в марте, и Mozilla заявила, что исправила ошибку 21 апреля 2015 года.

Ниже приведено видео на YouTube о взломе Samsung Find My Mobile. Атака Mozilla Find My Device должна работать аналогичным образом.