三星的账户管理系统中发现了三个跨站点请求伪造漏洞
2018-12-13 09:53:13爱云资讯
一位安全研究人员昨天告诉记者,黑客可能只是通过欺骗用户访问恶意链接来接管任何三星帐户。
该研究人员乌克兰臭虫赏金猎人Artem Moskowsky本月向三星报告此问题后,该漏洞现已得到修复。
这个三星帐户问题的核心是安全专家称之为跨站点请求伪造(CSRF)漏洞。用非专业术语解释,此漏洞允许攻击者欺骗用户的浏览器在用户当前登录的其他站点上执行隐藏命令,但是在攻击者的站点上。
Moskowsky告诉ZDNet他在三星的账户管理系统中发现了三个CSRF问题。
第一个允许攻击者更改配置文件详细信息,第二个允许攻击者禁用双因素身份验证,而第三个允许攻击者更改用户的帐户安全问题。
虽然这三个都是重要问题,但第三个问题本来可以用来接管帐户。 Moskowsky告诉ZDNet,攻击者可能欺骗用户访问可能改变用户安全问题和相应答案的恶意链接。
然后,攻击者可能尝试使用该用户的电子邮件地址登录用户的帐户,并启动依赖于现在受到污染的安全问题的密码恢复密码。使用新密码,攻击者可以访问用户的三星帐户。
为了更好地衡量,如果帐户使用双因素身份验证,则可以在用户访问恶意链接的同时禁用该身份验证。
访问Samsung帐户可以允许攻击者通过“查找我的设备”功能跟踪用户的移动,控制用户的互连智能设备,访问用户健康数据,访问私人笔记等。
对于他报告的三个漏洞,三星向研究人员颁发了13,300美元的奖励。上个月,该研究人员还为一个Steam漏洞收集了25,000美元的奖金,该漏洞可以让攻击者获得任何Steam游戏的任何CD密钥。
相关文章
- Omdia:尽管2023年出货量跌至50%以下,三星仍处于中小尺寸AMOLED面板的领先地位
- 拓展Galaxy AI生态 三星Galaxy Z Fold5现可更新Samsung One UI 6.1
- Samsung One UI 6.1现已开通更新 有AI的三星Galaxy Z Flip5让你乐享生活
- 三星智慧电视引领行业浪潮,AI技术开启全新生活体验
- AI手机加速普及 三星Galaxy Z Fold5加入Galaxy AI功能
- 用AI趣表达,三星S24的AI进阶之路
- 三星半导体在CFMS 2024分享移动、PC、服务器的创新技术和存储解决方案
- AWE2024三星SmartThings体验区 用科技构建理想生活模版
- 京东3C数码发布“AI换新加速计划” 三星Galaxy S24系列引领移动AI新浪潮
- 科技星芒下的女性青春力量:三星STEM GIRLS的探知之旅
- 三星Galaxy M15 5G上市:6.5 英寸AMOLED屏+6000mAh大容量电池
- 飞天云动打造全球首个VR三星堆遗址考古舱,成为元宇宙数字文旅先行者
- 三星MWC 2024:Galaxy AI引领未来科技趋势
- 三星发布其首款36GB HBM3E 12H DRAM,满足人工智能时代的更高要求
- 三星全新microSD,凭借高性能和大容量助力移动计算和端侧AI
- “AI”在京城 三星Galaxy S24系列定义未来生活方式
热门文章
头条文章
重点文章
推荐文章
热点文章