Επιτυχία κατέγραψε στο ενεργητικό του ένας ερευνητής ασφαλείας αυτές τις ημέρες, καθώς ανακάλυψε νέο σφάλμα στην ιστοσελίδα της Samsung που θα μπορούσε να δώσει ελεύθερη είσοδο σε χάκερς και να χειριστούν έναν λογαριασμό χρήστη μέσω του οποίου θα εξαπατούσαν πολλά άτομα ώστε να κάνουν κλικ και ουσιαστικά να οδηγηθούν σε έναν κακόβουλο σύνδεσμο. Η ευπάθεια αναφέρθηκε στη Samsung νωρίτερα αυτό το μήνα από τον ουκρανικό “κυνηγό” διαδικτυακών επιθέσεων, Artem Moskowsky.
Η ZDNet αναφέρει ότι στο επίκεντρο αυτής της ευπάθειας είναι κάτι που αναφέρεται στον κλάδο της διαδικτυακής ασφάλειας ως εκμεταλλευόμενοι την πλαστογράφηση αίτησης μεταξύ ιστότοπων. Αυτό που εκμεταλλεύονται οι hackers κάνει είναι να εξαπατήσουν το πρόγραμμα περιήγησης με στόχο να εκτελούν κρυφές εντολές σε άλλους ιστότοπους στους οποίους έχει συνδεθεί ο χρήστης και παράλληλα βλέπουν τις κινήσεις τους οι εισβολείς.
Ο Moskowsky ανακάλυψε στην πραγματικότητα τρία ζητήματα που σχετίζονται με σύστημα διαχείρισης λογαριασμού της εταιρείας. Το πρώτο θα επέτρεπε στους επιτιθέμενους να αλλάξουν τις λεπτομέρειες του προφίλ του στόχου τους. Το δεύτερο θα τους άφηνε να απενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων και το τρίτο σφάλμα θα επέτρεπε την αλλαγή του κωδικού ασφαλείας.
Ο επιτιθέμενος θα μπορούσε να εξαπατήσει τον χρήστη να κάνει κλικ σε έναν κακόβουλο σύνδεσμο που θα άλλαζε την ερώτηση ασφαλείας και την απάντησή του. Επομένως, θα μπορούσε να ξεκινήσει η ανάκτηση του κωδικού πρόσβασης με την αμφιλεγόμενη ερώτηση ασφαλείας για πρόσβαση. Η Samsung εξουδετέρωσε γρήγορα τα σφάλματα μετά την αναφορά του ερευνητή ασφαλείας. Η εταιρεία επιβράβευση τον Moskowsky με το χρηματικό ποσό των 13.300 δολαρίων για τις αποκαλύψεις του.
[via]