La vulnerabilidad habría permitido al atacante generar una nueva contraseña
Un experto en forense digital ucraniano conocido como Artem Mokowsky reportó el hallazgo de tres problemas de seguridad en el sistema de administración de cuentas de Samsung, lo que lo hizo acreedor a una recompensa de alrededor de 13 mil dólares. El experto dedicado a la búsqueda de vulnerabilidades anteriormente había recibido una recompensa de 25 mil dólares por haber encontrado un error en Steam que permitió a cualquier usuario descargar cualquier juego sin pagar.
Según el informe del experto, el principal problema en el sistema de cuentas de Samsung es que éste es vulnerable a la falsificación de solicitudes entre sitios (CSRF). Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, esto significa que un atacante podría engañar al navegador de la víctima para que ejecute comandos remotos en otros sitios visitados sin que la víctima lo sepa.
Artem Morowsky mencionó que la vulnerabilidad se distingue por tres características esenciales:
- Permitiría a los atacantes modificar algunos detalles del perfil de usuario
- Permitiría a los atacantes deshabilitar la autenticación de dos factores para iniciar sesión
- Permitiría a los atacantes cambiar la pregunta de seguridad de la cuenta del usuario
Los tres son problemas serios, pero expertos en forense digital consideran que la tercera característica de la vulnerabilidad es la más crítica. Esto debido a que, si el atacante consigue cambiar la pregunta de seguridad del usuario, podría iniciar sesión utilizando la dirección email de la víctima e implementar un proceso de restablecimiento de contraseña.
Si el atacante responde de manera correcta a la pregunta de seguridad que él mismo ha establecido, el sistema le brindará una nueva contraseña, lo que significa que podría acceder a la cuenta de Samsung de la víctima sin que parezca un acceso ilegítimo.
El acceso a una cuenta de Samsung hubiera permitido a los atacantes rastrear los movimientos de un dispositivo o del usuario, controlar los dispositivos inteligentes interconectados del usuario, acceder a notas privadas y otra información sensible contenida en la cuenta.
0 comments:
Post a Comment