偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

三星“查找我的手機”功能出現(xiàn)漏洞,用戶可能完全丟失數(shù)據(jù)

安全
網(wǎng)絡(luò)安全服務(wù)提供商Char49的安全研究員Pedro Umbelino,在三星的“查找我的手機”功能中發(fā)現(xiàn)了多個漏洞,這些漏洞可能被集中利用在三星Galaxy Phone上執(zhí)行各種惡意活動。

網(wǎng)絡(luò)安全服務(wù)提供商Char49的安全研究員Pedro Umbelino,在三星的“查找我的手機”功能中發(fā)現(xiàn)了多個漏洞,這些漏洞可能被集中利用在三星Galaxy Phone上執(zhí)行各種惡意活動。

[[337459]]

“查找我的手機”軟件包中存在多個漏洞,最終可能導(dǎo)致智能手機用戶完全丟失數(shù)據(jù)(恢復(fù)出廠設(shè)置),包括實時位置跟蹤,電話和短信檢索,電話鎖定,電話解鎖等。用戶在設(shè)備的Web應(yīng)用程序上執(zhí)行的所有操作,都可能被惡意應(yīng)用程序濫用。執(zhí)行這些操作的代碼路徑涉及多個鏈接起來的漏洞。

“查找我的手機”功能可以支持三星硬件設(shè)備的所有者找到丟失的手機,還可以遠程鎖定設(shè)備,阻止他人訪問三星支付并徹底格式化設(shè)備內(nèi)容。不過,該功能中有四個漏洞,這些漏洞可以可能被安裝在設(shè)備上的,僅需訪問SD卡的惡意應(yīng)用所利用。

通過訪問設(shè)備的SD卡,應(yīng)用程序可以觸發(fā)攻擊鏈中的第一個漏洞,然后創(chuàng)建一個文件,攻擊者可使用該文件來攔截與后端服務(wù)器的通信。

成功利用此漏洞,黑客可以讓惡意應(yīng)用執(zhí)行“查找我的手機”功能所支持的相同操作,包括強制恢復(fù)出廠設(shè)置,擦除數(shù)據(jù),定位設(shè)備,訪問電話和消息以及鎖定和解鎖電話等。此漏洞很容易被利用,從而對用戶造成嚴重影響,并可能造成災(zāi)難性影響:通過電話鎖定永久拒絕服務(wù),通過出廠重置徹底丟失數(shù)據(jù)(包括SD卡),通過IMEI和位置跟蹤以及呼叫和SMS日志訪問。

專家解釋說,漏洞利用鏈可在未安裝補丁的三星Galaxy S7,S8和S9 +設(shè)備上運行。

有觀點認為,“查找我的手機”應(yīng)用程序不應(yīng)該有公開可用且處于導(dǎo)出狀態(tài)的任意組件。如果其他軟件包調(diào)用了這些組件,則應(yīng)使用適當?shù)臋?quán)限對其進行保護, 應(yīng)該消除依賴公共場所文件存在的測試代碼。

該漏洞于一年多前被發(fā)現(xiàn),三星于2019年10月已經(jīng)將其修復(fù)。

參考來源:

https://securityaffairs.co/wordpress/107010/breaking-news/samsung-find-my-mobile-flaws.html

 

責任編輯:趙寧寧 來源: FreeBuf
相關(guān)推薦

2015-06-18 10:49:31

2021-06-15 10:57:55

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2013-08-09 10:02:41

2015-06-18 10:19:11

2020-08-04 16:07:16

華為蘋果三星

2015-03-05 10:34:15

三星蘋果

2015-01-13 15:07:13

金屬三星Tizen

2010-10-11 10:04:37

Windows Pho三星

2013-08-19 17:07:59

2016-01-31 16:49:42

漏洞Galaxy

2012-08-14 09:35:14

蘋果三星

2010-04-12 17:59:05

bada開發(fā)

2011-04-28 10:27:20

上網(wǎng)本三星p1000

2012-04-03 14:15:45

三星

2014-11-26 09:18:14

2011-04-22 09:57:36

bada三星

2012-05-13 13:30:41

三星

2021-06-14 09:57:25

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2012-02-14 11:42:49

三星激光打印機

2012-05-27 20:15:24

三星
點贊
收藏

51CTO技術(shù)棧公眾號