Интересные новости для владельцев Samsung. Если вы ещё не обновили приложение «Find My Mobile», самое время это сделать (наверное).
Группа исследователей опубликовала очень интересный ресерч, посвященный ряду уязвимостей в приложении Find My Mobile. Целью этого приложения является удаленное управление устройством, если вы его потеряли (блокировка с произвольным сообщением, определение местоположения телефона, удаление всех данных и т.д.).
Благодаря ряду найденных уязвимостей (надо сказать что они достаточно «детские») злоумышленник мог получить доступ ко всем функциям этого сервиса. Как это обычно бывает, по одиночке уязвимости не представляют большой опасности (кроме раскрытия данных), но все вместе выстроились в замечательную эксплуатируемую атаку.
Ссылка на техническое описание всех найденных уязвимостей, их эксплуатация и подробности можно найти здесь.
Несмотря на то, что открыть детали решились только через год, проверьте на всякий случай, что на телефоне стоит последняя версия.
Конечно, если вы не против рассылать свой MAC-адрес Bluetooth-адаптера броадкостом в эфир. Да, именно так, в последней версии приложения появилась отличная опция по определению местоположения вашего устройства, даже если у него нет доступа к сети. Процесс простой — приложение с определенной периодичностью отправляет широковещательный запрос в Bluetooth эфир… И если рядом есть другой Samsung, он сможет помочь найти ваш телефон.
Интересно, можно ли что-то сделать, зная эту инфу? Ну кроме того, чтобы постоянно трекать перемещение пользователя?
В общем, спасибо Samsung, уязвимости исправили, но что-то сомнительное добавили 🙂 Выбираем из двух зол наименьшее…
