مطالب پربازدید

1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

انتشار شده در تاریخ 1397/09/25 - 08:00

آسیب پذیری حساب های کاربری سامسونگ

یک محقق، 3 نقص جعل درخواست میان سایتی را در درگاه کاربر سامسونگ کشف و این شرکت، جایزه ای 13 هزار و 300 دلاری به وی اعطا کرد.

به گزارش کارگروه امنیت سایبربان، به نقل از «ZDNet»؛ یک محقق امنیتی به تازگی در یک مصاحبه گفت:

هکرها می توانند هر حساب کاربری سامسونگ را تنها با فریب کاربر به منظور دسترسی به یک لینک مخرب، تصاحب کنند.

آسیب پذیری یاد شده، پس از این که آرتم موسکوسکی (Artem Moskowsky) یکی از شکارچیان اوکراینی برنامه «bug bounty»، این نقص را به سامسونگ گزارش داد، رفع شده است.

اساسا این نقص حساب های کاربری سامسونگ، باگی است که کارشناسان آن را آسیب پذیری جعل درخواست میان سایتی (CSRF) می نامند. در توضیح ساده ی آن می توان گفت این حفره امنیتی به یک مهاجم اجازه می دهد تا مرورگر کاربر را فریب داده تا دستورات مخفی را در سایت های دیگری که کاربر در آن ها ثبت ورود کرده است، اجرا کند؛ اما در حالی که در یک سایت مهاجم است.

همچنین موسکوسکی ذکر کرد که 3 نقص جعل درخواست میان سایتی را در سامانه ی مدیریت حساب های کاربری سامسونگ، شناسایی کرده است.

اولین باگ به مهاجم اجازه ی تغییر جزئیات شناسه را می دهد. دومین نقص، غیر فعال سازی احراز هویت 2 مرحله ای را امکان پذیر می سازد. در حالی که در سومین عیب، مهاجم می تواند سوال امنیتی حساب کاربری را تغییر دهد.

در حالی که همه ی نقایص یاد شده با اهمیت هستند، باگ سوم ممکن است برای نفوذ و تصاحب یک حساب کاربری مورد استفاده قرار گیرد. موکوسکی توضیح داد که یک مهاجم می تواند کاربر را به منظور دسترسی به یک لینک مخرب ترغیب کند که قادر است سوال امنیتی کاربر و پاسخ مربوطه را تغییر دهد. پس از آن مهاجم با استفاده از نشانی ایمیل، برای ورود به حساب کاربر تلاش و بازیابی رمزعبور بر پایه ی سوال امنیتی آلوده شده را راه اندازی می کند. با در دست داشتن رمز عبور جدید، مهاجم می تواند به حساب سامسونگ کاربر، دست یابد.

علاوه بر این، اگر حساب دارای احراز هویت دو عاملی باشد، همزمان با دسترسی کاربر به لینک مخرب، غیر فعال می شود.

دسترسی به حساب کاربری سامسونگ، مهاجم را قادر می سازد تا توسط قابلیت «دستگاه من را پیدا کن» (Find My Device) اقدامات کاربر را دنبال کند، دستگاه های هوشمند متصل به اینترنت کاربر را کنترل کند، به داده های سلامت کاربر و نوشته های شخصی دسترسی یابد و انواع بسیار دیگری از فعالیت ها را انجام دهد.

برای این 3 نقص کشف شده، سامسونگ به محقق ذکر شده، یک جایزه ی 13 هزار و 300 دلاری اعطا کرده است. به تازگی این محقق مبلغ 25 هزار دلار را برای کشف یک باگ در فروشگاه «Steam» دریافت کرد. این نقص به مهاجمان اجازه می داد تا کد سی دی (CDKey) را برای هر بازی ویدئویی دلخواهی به دست بیاورد.