Il National Institute of Standards and Technology (NIST), agenzia governativa statunitense che si occupa della gestione delle nuove tecnologie, ha diramato un bollettino d’allerta conferma la scoperta di una pericolosa vulnerabilità nello strumento Find My Phone di Samsung.
Molti smartphone realizzati dal produttore coreano integrano un meccanismo per la localizzazione geografica del dispositivo mobile (utile nel caso in cui questo venisse perso o fosse rubato) e per disporne il blocco od il completo azzeramento in modalità remota. La funzionalità sviluppata da Samsung, pur operando in maniera sostanzialmente identica a quella realizzata da Google (Ritrovare il cellulare smarrito con Gestione dispositivi Android), soffre di una lacuna di sicurezza che può permettere – ad un aggressore remoto – di bloccare da remoto lo smartphone o disporne la cancellazione di tutti i dati.
Il problema risiede nell’assenza di un sistema di verifica sulla richiesta remota di blocco o di azzeramento dello smartphone.
L’autore della scoperta, Mohamed Abdelbaset Elnoby, spiega di aver posto in essere un attacco CSRF (Cross Site Request Forgery). Persuadendo un utente a cliccare su un link che contiene riferimenti ad operazioni non richieste dal possessore del dispositivo Samsung, l’aggressore può di fatto ordinare al servizio “Find My Phone” di bloccare il telefono, di eliminarne il contenuto o di farlo squillare.
Elnoby ha mostrato anche di aver realizzato un pannello di amministrazione remota che permette di ricevere il codice PIN di sblocco e tutta una serie di informazioni addizionali sullo smartphone Samsung e sul suo possessore.
Nel bollettino pubblicato dal NIST, la falla di sicurezza individuata in Samsung “Find My Phone” viene giudicata “critica” (7,8 punti su 10).
Da parte sua, Samsung ha confermato di essere al lavoro per verificare il problema. Il suggerimento è per adesso quello di disattivare la funzionalità “Find My Phone”, se presente, fintanto che Samsung non rilascerà un aggiornamento correttivo.