El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) advierte a los usuarios de una vulnerabilidad de día cero recién descubierta en el servicio Find My Mobile de Samsung, la falla consiste en no validar el remitente del código de bloqueo recibido a través de una red. 

Find My Mobile es un servicio web móvil que se proporciona a los usuarios de Samsung para localizar su dispositivo perdido, crear alertas en el dispositivo remoto y además, bloquear de forma remota el teléfono para que nadie más pueda tener acceso al dispositivo perdido. 

La vulnerabilidad de Samsung en Find My Mobile fue descubierta por Mohamed Abdelbaset Elnoby (SymbianSyMoh), un investigador de seguridad de la información de Egipto. La falla es un Cross-Site Request Forgery(CSRF) que podría permitir a un atacante bloquear o desbloquear de forma remota e incluso hacerlo timbrar. 

Cross-Site Request Forgery (CSRF o XSRF) es un ataque contra la página web en el cual se engaña a la víctima al momento de cargar una página con contenido HTM. Básicamente, un atacante utilizará un ataque CSRF para engañar a una víctima a hacer clic en un enlace URL que contiene peticiones maliciosas o no autorizadas. 

El enlace malicioso tiene los mismos privilegios que el usuario autorizado para llevar a cabo una tarea no deseada a nombre de la víctima, como el cambio de dirección de correo electrónico, dirección de casa o contraseña, compras, entre otros. Un ataque CSRF generalmente se dirige hacia las funciones que causan un cambio de estado en el servidor, pero también se pueden utilizar para acceder a los datos sensibles de la víctima. 

"De esta manera, el atacante puede hacer que la víctima realice acciones de manera no intenciónal, como el cierre de sesión del punto de compra, información de la cuenta del cambio, recuperar información de la cuenta, o cualquier otra función proporcionada por el sitio web vulnerable", dijo Elnoby. 

El investigador ha facilitado una Prueba de Concepto (POC) en vídeo en donde da una explicación detallada de cómo el investigador hizo el ataque al servicio de Samsung. 

Según el investigador, el primer ataque es realmente crítico si es explotado debido a que los atacantes son capaces de bloquear el dispositivo de la víctima con un código de bloqueo de su elección, lo que obligó a la víctima a hacer una recuperación para el código de bloqueo con su cuenta de Google. 

El US-CERT y el NIST identifican a la vulnerabilidad en el servicio de Samsung con una clasificación considerada como alta, mientras que la puntuación de explotabilidad de la falla es de 10.0. 

"Los controles remotos de los que disponen los dispositivos móviles de Samsung no validan el origen de los códigos de bloqueo recibidos, lo que hace que sea más fácil para los atacantes remotos provocar una denegación de servicio (bloqueo de pantalla) mediante la activación inesperada del servicio Find My Mobile network traffic" según se menciona en el aviso de seguridad emitido por el NIST.