Новое исследование выявило ряд серьезных уязвимостей в безопасности приложения для Android «Find My Mobile», предустановленного на большинстве смартфонов Samsung. Данное приложение может позволить атакующим удаленно отслеживать местоположение жертв в режиме реального времени, перехватывать телефонные звонки и сообщения и даже удалять данные, хранящиеся в телефоне.
Португальский поставщик услуг кибербезопасности Char49 на прошлой неделе, на конференции DEF CON, рассказал о своих находках и поделился подробностями с порталом Hacker News.
«Эта уязвимость может быть легко использована при атаке и иметь потенциально катастрофические последствия: блокировку телефона, полную потерю данных, включая данные на SD-карте, сброс настроек до заводских, компрометацию конфиденциальных данных через IMEI и отслеживание местоположения, а также доступ атакующего к журналу вызовов и SMS», - сообщил Педро Умбелино из компании Char49.
Уязвимости актуальны для непропатченных устройств Samsung Galaxy S7, S8 и S9+ и были отмечены, как «уязвимости с высоким уровнем воздействия». Эксплойты были устранены Samsung в последних версиях прошивок.
Услуга «Find My Mobile» позволяет владельцам устройств Samsung удаленно найти или заблокировать свой смартфон или планшет, создать резервную копию данных в облаке Samsung, стереть локальные данные и заблокировать доступ к Samsung Pay.
По данным Char49, были обнаружены четыре различные уязвимости, которые могли быть использованы вредоносными приложениями на целевом устройстве, создавая возможность атаки «man-in-the-disk» с перехватом связи с внутренних серверов и слежки за жертвой.
Уязвимость заключается в том, что приложение проверяет наличие определенного файла на SD-карте устройства («/mnt/sdcard/fmm.prop») для загрузки URL («mg.URL»), что позволяет мошенническим приложениям подменить этот файл и использовать его для потенциального перехвата соединений с сервером.
«Направляя MG URL на сервер, контролируемый атакующим, и заставляя его регистрироваться, злоумышленник может получить много подробностей о пользователе: примерное расположение через IP-адрес, IMEI, марку устройства, уровень API, приложения для резервного копирования и некоторые другие сведения», - заявил Умбелино.
Для этого вредоносное приложение использует цепь эксплойтов, два различных незащищенных broadcast-приемника для перенаправления команд, отправляемых на серверы Samsung с приложения Find My Mobile на другой сервер, находящийся под контролем злоумышленника, и выполнения вредоносных команд.
Сервер атакующего, в свою очередь, перенаправляет запрос на легитимный сервер и передает пользовательскому устройству ответ сервера, но при этом внедряет собственные ответы.
Успешная атака может позволить хакеру отследить местонахождение устройства, перехватить данные по звонкам и текстовые сообщения, заблокировать телефон с целью требования выкупа и стереть все данные через сброс настроек до заводских.
Нет необходимости говорить, что уязвимость является еще одним примером того, как предназначенное для защиты пользователей от потери информации приложение может быть подвержено целому ряду разрушающих сам смысл существования приложения недостатков.
«Компоненты приложений, подобных «Find My Mobile», не должны находиться в открытом доступе», - сообщил Умбелино. «Если это абсолютно необходимо, например, если другие пакеты вызывают эти компоненты, то они должны быть соответствующим образом защищены. Тестирование кода с размещением файлов на общедоступных ресурсах должно быть исключено».
Перевод сделан со статьи https://thehackernews.com/