Smartphone Samsung a rischio: grave vulnerabilità scoperta su Find My Mobile

Smartphone Samsung a rischio: grave vulnerabilità scoperta su Find My Mobile

Nato per rendere più sicuro il proprio smartphone da furti, Find My Mobile contiene una grave falla di sicurezza che permette a terzi di bloccare un dispositivo da remoto. L'unica soluzione, al momento, è di disattivare la feature

di pubblicata il , alle 08:01 nel canale Telefonia
Samsung
 

Il NIST (National Institute of Standards and Technology) ha scoperto una grave vulnerabilità di sistema all'interno della feature Find My Mobile disponibile su smartphone e tablet Samsung. Questa permette di accedere a delle opzioni di controllo remoto sul proprio smartphone utili in caso di smarrimento o con l'obiettivo di rendere inefficaci eventuali tentativi di furto.

Samsung Galaxy S4

Find My Mobile permette di notificare all'utente cambi di SIM, salvare una cronologia delle chiamate effettuate e ricevute, eliminare tutti i dati presenti sul dispositivo, localizzarlo sulla mappa o bloccarlo. Si tratta di un servizio che viene abilitato automaticamente solamente dopo la sottoscrizione di un account Samsung, e non viene quindi offerto in via predefinita con la vendita del dispositivo.

Una funzionalità di sicurezza che potrebbe trasformarsi in uno dei maggiori pericoli per i possessori di dispositivi Samsung. La falla scoperta dal NIST potrebbe permettere ad un utente malintenzionato di eseguire da remoto una delle operazioni descritte poco sopra, includendo la possibilità di bloccare il dispositivo o cancellare tutti i dati in esso integrati. L'exploit non è, stando ai documenti riportati, troppo difficile da sfruttare.

"Le funzionalità di controllo remoto sui dispositivi mobile Samsung non richiedono una convalida dell'origine dei codici di blocco ricevuti sulla rete, cosa che rende più semplice a chi esegue l'attacco l'esecuzione di un denial of service (il blocco dello schermo con un codice arbitrario) eseguendo traffico di rete via Find My Mobile", scrive il NIST riguardo alla falla di sicurezza.

L'istituto stabilisce in 7,8 il punteggio sulla pericolosità della falla di sicurezza, in 10 la sfruttabilità della stessa, il valore massimo. Il servizio può essere infatti violato con estrema semplicità da parte di un utente malintenzionato, dal momento che sfruttando l'exploit non è necessario nemmeno effettuare alcun processo di autenticazione.

Il produttore coreano non ha ancora commentato su quanto reso pubblico nelle scorse ore, pertanto l'unico consiglio che possiamo dare è quello di disabilitare Find My Mobile sul proprio dispositivo Samsung in attesa del rilascio di un fix ufficiale da parte della società.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
globi31 Ottobre 2014, 00:32 #1
Mah, io uso i servizi dell`app Cerberus e la localizzazione di Google sul mio Samsung S4, avevo anche intenzione di usare il servizio proprio di Samsung ma visto che ora sono venuto a sapere di questa vulnerabilità non lo userò. Con tutto il lavoro superfluo che ha Samsung nel produrre inutile bloatware indesiderato dagli utenti, non notano i bugs che implementano! Ben gli stà!
8black31 Ottobre 2014, 10:00 #2
...perchè pensi di essere al sicuro da intrusioni utilizzando la localizzazione di Google? Perdonami, non volevo trollare, ma l'unico modo per essere "sicuri" è non usare Android, o usarlo senza SIM, senza connessioni dati e senza GPS... Vero è che Samsung personalizza molto le ROM dei propri dispositivi, ma è l'architettura stessa di Android ad aprire tutte le porte agli sviluppatori di applicazioni, è un sistema pensato per favorire le intrusioni esterne.
globi31 Ottobre 2014, 19:53 #3
Perché, c`é una falla anche lì?
8black01 Novembre 2014, 13:32 #4
Nessuna falla, è proprio Android che è nato per spiare i suoi utenti, sono apparsi numerosi articoli rivelatori in tal senso anche qui su hwupgrade. Il sistema di localizzazione GPS di Android, come quello di iOS, effettua un tracking continuo dei dispositivi collegati e salva tutto su un database. Incrociando tali dati con i tuoi messaggi, le utenze whatsapp e facebook con tutti i contatti ed i post che scrivi e che leggi, è possibile sapere tutto di te, da dove vai, a chi frequenti a quello che compri, etc. etc. Ovviamente, fintanto che non sei un obiettivo sensibile, nessuno userà mai quei dati, ma io trovo inaccettabile anche solo il pensiero che un server in California possa archiviare tutte queste informazioni su di me...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^