Samsung – Une faille de « Find My Mobile » permet le verrouillage à distance par un attaquant

2

Le National Institute of Standards and Technology (NIST) met en garde les utilisateurs d’une faille zero-day récemment découverte dans le service Find My Mobile de Samsung. Ce dernier échoue à valider l’identité de l’expéditeur d’un lock-code reçu sur le réseau.

La fonctionnalité « Localiser mon mobile » mis en place par Samsung dans l’ensemble de leurs appareils est un web-service mobile qui permet aux utilisateurs d’accéder à tout un tas de fonctionnalités pour localiser leur appareil perdu ou volé, jouer une alerte sonore sur un périphérique distant et de verrouiller à distance le téléphone mobile afin que personne d’autre ne puisse obtenir l’accès à l’appareil.

La vulnérabilité dans le service « Localiser mon mobile » de Samsung a été découverte par Mohamed Abdel Basset Elnoby (@SymbianSyMoh), un évangéliste de la sécurité de l’information en Egypte. La faille est de type Cross-Site Request Forgery (CSRF) qui pourrait permettre à un attaquant distant de verrouiller ou déverrouiller l’appareil souhaité et même de le faire sonner.

findmymobile-samsung

Cross-Site Request Forgery (CSRF ou XSRF) est une attaque qui trompe la victime lors du chargement d’une page Web contenant un code HTML spécialement conçu pour exploiter une faille. Fondamentalement, un attaquant utilisera l’attaque CSRF pour tromper la victime via un lien URL qui contient des requêtes malveillantes ou non autorisées. Le lien malveillant détient alors les mêmes privilèges que l’utilisateur légitime et il est alors autorisé à effectuer une tâche indésirable voir malveillante sur le compte de la victime. L’attaque CSRF vise généralement des fonctions qui provoquent un changement d’état sur ​​le serveur (changement de l’adresse mail ou réinitialisation du mot de passe) mais il peut également être utilisé pour accéder à des données sensibles de la victime.

« De cette manière, l’attaquant peut faire en sorte de forcer la victime a effectuer en toute transparence des actions dont elle ne se rend pas compte« , a déclaré Elnoby. Le chercheur a également fourni un PoC vidéo de l’exploitation de la vulnérabilité qui vous expliquera en détail la façon dont le chercheur a exploiter la faille sur le service « Localiser mon mobile » de Samsung.

Selon le chercheur, la première attaque visant à verrouiller à distance l’appareil de la victime est critique si elle est exploitée car les attaquants seront alors en mesure de verrouiller à distance le mobile de la victime avec un code de verrouillage de leur choix, ce qui obligerait la victime à entamer une procédure afin de réinitialiser le code de verrouillage via son compte Google. On imagine par ailleurs très bien une demande de rançon aux utilisateurs novices qui ignoreraient comment réinitialiser ce code…

L’US-CERT et le NIST ont identifié la vulnérabilité Find My Mobile Samsung sous le CVE-2014-8346 et évalué la gravité de la faille au niveau maximal, avec un score 10 :

« Le système dont disposent ​​les appareils mobiles Samsung ne valide pas la source de données des lock-code reçus sur le réseau, ce qui rend facile pour les attaquants distants de causer un verrouillage de l’appareil avec un code arbitraire par un déclenchement non sollicité de Find My Mobile« , explique l’avis de sécurité émis par le NIST.

Heureusement, Samsung a déjà annoncé avoir corrigé la faille le 13 octobre dernier, et il ne semble plus possible d’exploiter cette dernière.

Mohanmed Abdelbaset Elbony indique toutefois qu’après avoir découvert la faille sur les terminaux Samsung, il s’est penché sur les services identiques proposés par d’autres constructeurs, et découvert des failles similaires, voire pires chez d’autres marques. Il aurait contacté les constructeurs en faute, pour leur partager ses découvertes et refuse pour l’instant de communiquer sur leurs identités tant qu’un correctif n’aura pas été déployé.

findmymobile_fail

2 Commentaires

  1. à l’ ouverture de mon galaxy J5 , après avoir rentré mon code pin ,sur l’écran :une demande de mot de passe !je n’ai pas ce mot de^passe! que dois je faire ?avez vous une solution ? merci .

    bien cordialement

  2. […] Le National Institute of Standards and Technology (NIST) met en garde les utilisateurs d’une faille zero-day récemment découverte dans le service Find My Mobile de Samsung. Ce dernier échoue à valider l’identité de l’expéditeur d’un lock-code reçu sur le réseau.La fonctionnalité « Localiser mon mobile » mis en place par Samsung dans l’ensemble de leurs appareils est un web-service mobile qui permet aux utilisateurs d’accéder à tout un tas de fonctionnalités pour localiser leur appareil perdu ou volé, jouer une alerte sonore sur un périphérique distant et de verrouiller à distance le téléphone mobile afin que personne d’autre ne puisse obtenir l’accès à l’appareil.  […]

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.