
Samsung手機用戶,可於雲端設定個人化服務,自然不免身分驗證程序,然經烏克蘭軟體抓漏好手Artem Moskowsky測試,發覺三星官網入口,囿於辨識用戶請求時,安全性過低,存在不同程度之跨站台請求偽造漏洞,且實際探勘這3項CSRF均可奏效,能窺伺、竄改用戶個資;停用2-factor authentication身分驗證;甚至強行置換安全提問與答案,重設密碼後假冒受害者身分,三星獲報後已修正web安全性設計,並餽贈獎金$13300。
影響產品:Samsung 帳號管理系統
解決辦法:三星已更正web入口網站安全性設計。
資料來源:
- https://nakedsecurity.sophos.com/2018/12/12/samsung-fixes-flaws-that-could-have-let-attackers-hijack-your-account/
- https://www.theregister.co.uk/2018/12/10/samsung_patches_accountstealing_hole/
- https://www.technadu.com/samsung-fixes-three-critical-bugs-reported-ukrainian-bug-bounty-hunter/51192/
- https://www.zdnet.com/article/bug-allowed-full-takeover-of-samsung-user-accounts/
- http://www.kb-iot.com/post/730.html
- https://medium.com/@moskowsky
- https://account.samsung.com/membership/intro