Samsung corrige um bug que permite o uso completo de contas de usuários

Um pesquisador de segurança encontrou um bug no site da Samsung que poderia permitir que hackers controlassem totalmente uma conta de usuário apenas enganando o usuário para que clicasse em um link malicioso. A vulnerabilidade foi relatada à Samsung no início deste mês pelo caçador de insetos ucraniano Artem Moskowsky.

O ZDNet relata que no centro dessa vulnerabilidade está algo mencionado no setor de segurança on-line como exploração de falsificação de solicitação entre sites. O que essa exploração permite que os hackers façam é enganar o navegador de seu alvo para executar comandos ocultos em outros sites em que o usuário está logado enquanto estiver em um site de um invasor.

Moskowsky descobriu três cruzamentos solicitação de site para questões relacionadas a falsificação no sistema de gerenciamento de contas da empresa. O primeiro teria permitido que invasores alterassem os detalhes do perfil de seu alvo. O segundo permitiria que eles desativassem a autenticação de dois fatores e o terceiro permitisse uma mudança na questão de segurança. É o terceiro que poderia ter sido usado para assumir as contas. O atacante poderia ter enganado o usuário ao clicar em um link malicioso que mudaria sua pergunta de segurança e sua resposta. Portanto, uma recuperação de senha pode ser iniciada com a pergunta de segurança comprometida para obter acesso. A Samsung corrigiu rapidamente os bugs depois que eles foram denunciados pelo pesquisador de segurança. A empresa concedeu a Moskowsky US $ 13.300 por suas divulgações.

Via: Ubergizmo