ทาง NIST (National Institute of Standards and Technology) ได้ออกมาเตือนผู้ใช้โทรศัพท์เคลื่อนที่ซัมซุงที่มีบริการ Find My Mobile ถึงช่องโหว่ระดับร้ายแรง ผ่านการ Cross-Site Request Forgery (CSRF) เพื่อหลอกเครื่องโทรศัพท์เป้าหมายว่าผู้ใช้ตัวจริงได้คำสั่งล็อกเครื่องมาจากเว็บไซต์ Find My Mobile และส่งชุดคำสั่งไปทำงานยังเครื่องเป้าหมายโดยปลอมการยืนยันตัวตน

ผู้ค้นพบช่องโหว่ดังกล่าวคือคุณ Mohamed Abdelbaset Elnoby (@SymbianSyMoh) ผู้เชี่ยวชาญด้านความปลอดภัยจากประเทศอียิปต์ เขาได้ทดลองทำหน้าเว็บ Find My Mobile ปลอมขึ้นมาหลอกผู้ใช้ให้กดเข้าไป เมื่อเหยื่อกดเข้ามาแล้วชุดคำสั่งที่เขาเขียนขึ้นมาจะส่งการยืนยันตัวตนปลอมไปยังโทรศัพท์ จากนั้นแฮกเกอร์ก็จะสามารถปลอมการยืนยันตัวตนเพื่อเข้าถึงและเปลี่ยนข้อมูลผู้ใช้ต่างๆ ไม่ว่าจะเปลี่ยนอีเมล ที่อยู่ เสียงริงโทน รหัสผ่าน สั่งซื้อของ หรือแม้กระทั่งเข้าถึงข้อมูลภายในโทรศัพท์

ทาง US-CERT/NIST ได้ระบุช่องโหว่ของระบบ Find My Mobile ของซัมซุงเป็นรหัส CVE-2014-8346 และมีระดับความร้ายแรงระดับ 10.0 อันถือว่าเป็นช่องโหว่ที่มีระดับความรุนแรงสูงที่สุดเนื่องจากช่องโหว่ดังกล่าวสามารถทำให้เครื่องเป้าหมายยุติการทำงานและเข้าถึงข้อมูลภายในเครื่องได้ทั้งหมดและได้ทำวิดีโอแสดงการทำงานของชุดคำสั่งดังกล่าวคร่าวๆ ไว้บน YouTube

ขณะนี้ซัมซุงยังไม่มีคำชี้แจงต่อช่องโหว่ดังกล่าวแต่อย่างใดและ Find My Mobile ก็ยังเปิดให้บริการตามปกติ

ที่มา - The Hacker News