Falhas na Samsung tornaram os usuários vulneráveis a ataques

Três falhas já corrigidas foram encontradas recentemente no site móvel da Samsung. Elas tornaram os usuários da Samsung vulneráveis, já que hackers poderiam obter acesso e controle sobre as contas e as informações dos usuários.

“Devido às vulnerabilidades era possível hackear qualquer conta no account.samsung.com se o usuário acessasse a seção minha página. O hacker poderia ter acesso a todos os serviços do usuário da Samsung e informações privadas na nuvem”, explicou o caçador de bugs Artem Moskowsky ao The Register.

Os bugs eram todos de falsificação de solicitações entre sites, do inglês cross-site request forgery (CSFR), e ocorreram devido a problemas de segurança envolvendo as perguntas para redefinir senha. Mais precisamente, o aplicativo web da Samsung.com não estava verificando corretamente o cabeçalho “referer”, o que permitiria que qualquer site tivesse acesso a dados importantes.

Em outras palavras, após explorar a falha de CSRF e alterar as questões de segurança para quaisquer outras que desejasse, o invasor teria acesso total ao perfil do usuário, com a possibilidade de desabilitar a autenticação de dois fatores e alterar o nome de usuário e a senha.

A Samsung pagou a Moskowsky USD 13.300 por ter descoberto os bugs. Em outubro, ele ganhou USD 20 mil por ter encontrado um bug no Steam.