- A+
所属分类:未分类
该漏洞将允许攻击者生成新密码
一位名叫Artem Mokowsky的乌克兰数字取证专家报告了三星账户管理系统中三个安全问题的发现,这使他获得了大约1.3万美元的奖励。 专业从事漏洞搜寻的专业人士之前因为在Steam上发现漏洞而获得了2.5万美元的奖励,该漏洞允许用户在不付费的情况下下载任何游戏。
根据该专家的报告,三星帐户系统的主要问题是它容易受到跨站点请求伪造(CSRF)的攻击。 根据国际网络安全研究所的数字取证专家的说法,这意味着攻击者可以欺骗受害者的浏览器,在受害者不知情的情况下在其他访问过的网站上运行远程命令。
Artem Morowsky提到漏洞的三个基本特征是:
- 允许攻击者修改某些用户个人资料详细信息
- 允许攻击者禁用双因素身份验证以进行登录
- 允许攻击者更改用户帐户的安全问题
这三个都是严重问题,但数字取证专家认为,漏洞的第三个特征是最关键的。 这是因为,如果攻击者设法更改用户的安全问题,他们可以使用受害者的电子邮件地址登录并实施密码重置过程。
如果攻击者正确回答了他们设置的安全问题,系统会给他们一个新密码,这意味着他们可以访问受害者的三星帐户,而不会出现非法访问。
访问三星帐户将允许攻击者跟踪设备或用户的移动,控制用户的互连智能设备,访问私人笔记以及由三星的帐户管理系统管理的其他敏感信息。
2018年12月15日
