На официальном сайте Samsung можно было угнать аккаунты тремя разными способами

Эксперт по безопасности выявил три уязвимости
на сайте Samsung, одна из которых была признана
критической. Компания выплатила более $13
тыс. за информацию о них.

Меняйте пароли или это сделают за вас

Сайты в домене Samsung.comсодержали ряд уязвимостей, которые допускали кражу пользовательских мобильныхаккаунтов.

Украинский исследовательбезопасности, профессиональный охотник за уязвимостями Артем Московский заявил, что нашел сразу три уязвимости типа CSFR(межсайтовая подделка запроса), которая позволяла производить сброс паролей кчужим аккаунтам.

По словамМосковского, сайт Samsung.comнекорректно обрабатывал контрольные вопросы, используемые для переустановкипользовательских паролей.

К настоящему времени проблемы устранены.

Некорректная обработка

В обычных условияхсоответствующее приложение должно проверять заголовок «referer»,чтобы удостовериться, что запрос отправляется с сайта, имеющего легитимныйдоступ. Но на Samsung.comмеханизм проверкиработал неправильно, так что эту информацию мог получить любой постороннийсайт.

samsung600_1.jpg

Уязвимости на сайте Samsung позволяли красть аккаунты пользователей

Из-за этогозлоумышленники могли шпионить за пользовательскими аккаунтами и менятьнекоторые данные, например имя пользователя, или даже отключать двухфакторнуюавторизацию и красть мобильные аккаунты, меняя пароли к ним.

«Хотя удивительно,что такой гигант как Samsung допускает на своих ключевых сайтахстоль типичные уязвимости, в целом это показывает, что от подобных ошибок незастрахован никто, — считает МихаилЗайцев, эксперт по информационной безопасности компании SECConsultService.— Заодно это напоминание о том, что независимые “охотники за багами” — лучшиедрузья и корпораций, и конечных пользователей».

Где две, там и три

«Сначала я нашел двеуязвимости, — рассказалМосковский. — Затем, когда язалогинился на сайт security.samsungmobile.com, чтобы проверить реакцию на свое предыдущее сообщения, меня перебросили насайт редактирования персональных данных. Эта страница выглядела иначе, нежелиее аналог на account.samsung.com. Тамбыло дополнительное поле “секретный вопрос”».

В итоге Московский выяснил,что и здесь содержится баг, позволяющий принудительно менять и контрольныйвопрос, и ответ на него.

Описаннымуязвимостям были присвоены средняя, высокая и критическая степени угрозы. Завсе вместе Московский получил $13,3 тыс. — существенно меньше, чем он получилза одну критическую уязвимость в Steam в октябре 2018 г., когда сумманаграды составила $20 тыс.