18成人网站,自拍国语国产在线小视频高清,波多野结衣视频一区二区

三星“找回手機（Find My Mobile）”功能存在0Day漏洞

責編：admin ｜2014-10-29 12:00:02

　　美國國家標準與技術研究院（NIST）向廣大用戶發出了警告：三星手機“找回手機（Find my mobile）”功能存在0Day漏洞。

　　關于Find My Mobile

　　經三星公司修改后，找回手機（Find my mobile）功能已經變成了一種移動網絡服務功能。三星用戶可以對丟失的手機進行定位，遠程設備設置警告，遠程鎖住手機。這樣手機即使被偷走了，也沒有人可以使用它。

　　三星找回手機功能里的漏洞是由埃及信息安全專員Mohamed Abdelbaset Elnoby 發現的。該漏洞是一種跨站請求偽造（CSRF）攻擊。攻擊者可以利用這一漏洞遠程控制鎖住或者不鎖住手機，甚至還可以設置手機鈴聲。

　　攻擊方式

　　跨站請求偽造（縮寫為CSRF或者XSRF）是通過欺騙受害者打開攻擊者們精心設計的HTML頁面而進行攻擊的。事實上，攻擊者是使用CSRF攻擊去欺騙受害者打開包含未經授權的請求或者惡意軟件的URL鏈接。

　　惡意鏈接擁有和經授權的用戶一樣的特權，它可以任意的篡改受害者的信息，如篡改受害者的郵件地址，家庭住址，密碼或者以受害者的名義去購物。CSRF通常都是攻擊一些比較重要的功能，但也經常觸及受害者的一些敏感信息。

　　研究者還給出了一個POC視頻，視頻中就該漏洞是如何實施攻擊的給出了詳細的解釋

　　研究者指出，第一次遠程攻擊至關重要的。因為攻擊者是用自己的鎖碼鎖住受害者的手機，然后強制受害者登錄谷歌賬戶恢復其原有的鎖碼。只有這樣攻擊者才能獲得受害者的谷歌賬號，進而獲得受害者的其他信息。

　　威脅等級

　　美國國家標準與技術研究院（NIST）對三星的找回手機漏洞命名為CVE-2014-8346 ，并對其嚴重性等級標記為高等級，因此它的綜合嚴重性得分是10.0。