На официальном сайте Samsung можно было угнать аккаунты тремя разными способами

Безопасность Интернет Интернет-доступ
мобильная версия
, Текст: Роман Георгиев

Эксперт по безопасности выявил три уязвимости на сайте Samsung, одна из которых была признана критической. Компания выплатила более $13 тыс. за информацию о них.


Меняйте пароли или это сделают за вас

Сайты в домене Samsung.com содержали ряд уязвимостей, которые допускали кражу пользовательских мобильных аккаунтов.

Украинский исследователь безопасности, профессиональный охотник за уязвимостями Артем Московский заявил, что нашел сразу три уязвимости типа CSFR (межсайтовая подделка запроса), которая позволяла производить сброс паролей к чужим аккаунтам.

По словам Московского, сайт Samsung.com некорректно обрабатывал контрольные вопросы, используемые для переустановки пользовательских паролей.

К настоящему времени проблемы устранены.

Некорректная обработка

В обычных условиях соответствующее приложение должно проверять заголовок «referer», чтобы удостовериться, что запрос отправляется с сайта, имеющего легитимный доступ. Но на Samsung.comмеханизм проверки работал неправильно, так что эту информацию мог получить любой посторонний сайт.

Уязвимости на сайте Samsung позволяли красть аккаунты пользователей

Из-за этого злоумышленники могли шпионить за пользовательскими аккаунтами и менять некоторые данные, например имя пользователя, или даже отключать двухфакторную авторизацию и красть мобильные аккаунты, меняя пароли к ним.

«Хотя удивительно, что такой гигант как Samsung допускает на своих ключевых сайтах столь типичные уязвимости, в целом это показывает, что от подобных ошибок не застрахован никто, — считает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultService. — Заодно это напоминание о том, что независимые “охотники за багами” — лучшие друзья и корпораций, и конечных пользователей».

Где две, там и три

«Сначала я нашел две уязвимости, — рассказал Московский. — Затем, когда я залогинился на сайт security.samsungmobile.com, чтобы проверить реакцию на свое предыдущее сообщения, меня перебросили на сайт редактирования персональных данных. Эта страница выглядела иначе, нежели ее аналог на account.samsung.com. Там было дополнительное поле “секретный вопрос”».

В итоге Московский выяснил, что и здесь содержится баг, позволяющий принудительно менять и контрольный вопрос, и ответ на него.

Описанным уязвимостям были присвоены средняя, высокая и критическая степени угрозы. За все вместе Московский получил $13,3 тыс. — существенно меньше, чем он получил за одну критическую уязвимость в Steam в октябре 2018 г., когда сумма награды составила $20 тыс.