Des failles CSRF, permettant le piratage de comptes, corrigées par Samsung

Mobilité

Trois failles CSRF, récemment corrigées sur le site mobile Samsung, rendaient les utilisateurs vulnérables vis-à-vis de cybercriminels qui auraient pu réinitialiser leurs mots de passe et pirater leurs comptes.

failles csrf

Un trio de failles, récemment corrigé sur le site mobile Samsung, rendait les utilisateurs vulnérables vis-à-vis de cybercriminels qui auraient pu réinitialiser leurs mots de passe et pirater leurs comptes, rapporte The Register.

Le chercheur en sécurité, Artem Moskowsky, a découvert ces failles de sécurité, affirmant qu’il s’agissait de falsification de requêtes cross-site (cross-site request forgery – CSFR) , appelées failles CSRF ou encore bugs XSRF.

Moskowsky a déclaré que le problème venait de la manière avec laquelle la page de compte Samsung.com traitait les questions de sécurité liées à la réinitialisation du mot de passe.

La situation normale est la suivante : l’application web Samsung.com vérifie l’en-tête “référent” pour vérifier que les demandes de données proviennent de sites supposés y avoir accès de manière légitime.

Le problème est le suivant : les contrôles ne fonctionnaient pas correctement. N’importe quel site aurait pu obtenir les réponses aux questions de sécurité, permettant à un attaquant d’accéder au profil utilisateur, de modifier des informations telles que les noms d’utilisateurs, ou même de désactiver l’authentification à deux facteurs (2FA), de modifier les mots de passe et de voler les comptes.

The Register rapporte que, dans une preuve de concept, Moskowsky a montré comment un attaquant pouvait exploiter la faille CSRF pour modifier les questions de sécurité, et les réponses, afin d’y mettre ce qu’il voulait. À partir de là, il aurait été facile de réinitialiser le mot de passe et de prendre le contrôle d’un compte Samsung.

Moskowsky :

Du fait de l’existence de telles vulnérabilités, il était possible de pirater n’importe quel compte sur account.samsung.com si l’utilisateur accédait à “my page”. Le pirate pouvait ainsi accéder au cloud et à tous les services utilisateur Samsung, notamment aux données personnelles des utilisateurs.  

Lors du signalement, de ce qu’il pensait à l’origine être deux failles CSRF, à Samsung via ce même site Samsung.com, Moskowsky est tombé sur un troisième bug qui aurait pu lui permettre de forcer la modification des questions et des réponses de sécurité.

J’ai d’abord découvert deux vulnérabilités. Mais ensuite, lorsque je me suis connecté à security.samsungmobile.com pour consulter mon rapport, j’ai été redirigé vers la page de modification des informations personnelles. 

Cette page ne ressemble pas aux autres pages sur account.samsung.com. Il y avait un champ supplémentaire, au niveau de celle-ci, intitulé “question secrète”. 

Samsung n’avait pas encore répondu à une demande de commentaire, émise mardi soir, de la part de The Register. L’entreprise aurait, à priori, versé à Moskowsky un total de 13 300$ (environ 11 800€) pour les trois vulnérabilités classées comme moyenne, élevée et critique.

Il a également récolté 20 000 $ (environ 17 700€) le mois dernier pour avoir trouvé une faille majeure (maintenant corrigée !) dans Steam qui aurait pu lui offrir les clés de licence de chaque jeu !


Billet inspiré de Samsung fixes flaws that could have let attackers hijack your account, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.