美國國家標準技術研究所(National Institute of Standards and Technology, NIST)發布警告指出,三星手機的Find My Mobile(尋找我的手機)服務中的遠端控制功能存在漏動,可讓駭客遠端鎖定或挾持手機。

「尋找我的手機」是三星為其智慧型手機提供的一項服務,類似於蘋果的Find My iPhone,主要用於尋找或遠端控制使用者遺失的手機。當手機遺失時,可利用這項服務為遺失的手機定位,或者是遠端鎖住裝置讓其他人無法使用,或者是不管手機設定讓手機以最大音量響鈴一分鐘。

根據美國國家漏洞資料庫CVE-2014-8346說明,三星行動裝置的遠端控制(Remote Controls)功能並不會對網路上接收到的鎖定代碼資料進行驗證,讓攻擊者得以從遠端發動不可預期的Find My Mobile網路流量,導致拒絕服務,也就是可以任意程式碼鎖定其螢幕。

該漏洞的嚴重性,根據CVSS (Common Vulnerability Scoring System) Base Core 為7.8分、影響分項分數6.9分、易攻擊性分項分數10.0分。根據CVSS v2 Metrics來判定,這項漏洞的存取向量為網路攻擊型,存取複雜性層級低、不需驗證即可進行攻擊。

NIST並提供兩項概念驗證攻擊的相關影片連結,由埃及安全研究人員Mohamed A. Baset上傳的影片顯示,駭客可利用此一跨站冒名請求(Cross-Site Request Forgery, CSRF)漏洞送出請求程式碼,藉此從遠端鎖住三星Galaxy智慧型手機螢幕、解鎖,或使手機發出鈴聲。駭客甚至可以從遠端刪除手機上的資料。

在三星修補這項漏洞前,使用者最好到設定>更多>Find My Mobile (尋找我的手機)>遠端控制下關閉這項功能以確保手機及資料安全。

根據IDC報告,第二季智慧型手機作業系統有84.7%為Android平台,其中又以三星出貨近30%居冠。(編譯/林妍溱)

相關連結: NIST公告

熱門新聞

Advertisement