サムスンのモバイルサイトに存在する、最近修正された一連の欠陥により、ユーザーのアカウントが盗まれる危険にさらされていた。
バグハンターのアルテム・モスコフスキー氏は、自身が発見した脆弱性、すなわち、すでにパッチが当てられているクロスサイトリクエストフォージェリ(CSFR)の脆弱性3つにより、攻撃者がユーザーのパスワードをリセットし、アカウントを乗っ取ることが可能になる可能性があると述べた。
モスコフスキー氏はThe Register紙に対し、これらの脆弱性はSamsung.comのアカウントページにおけるセキュリティ質問の取り扱い方法に起因すると述べた。ユーザーがパスワードを忘れた場合、セキュリティ質問に答えることでパスワードをリセットできる。
通常、Samsung.com Web アプリケーションは、「referer」ヘッダーをチェックして、データ要求がアクセス権を持つはずのサイトからのみ送信されていることを確認します。
しかし、今回のケースではこれらのチェックが適切に実行されておらず、どのサイトでもその情報を入手できてしまいます。これにより、攻撃者はユーザープロフィールを盗み見たり、情報(ユーザー名など)を変更したり、さらには二要素認証を無効化してパスワードを変更することでアカウントを盗み取ったりすることが可能になります。
「脆弱性のため、ユーザーが私のページにアクセスすると、account.samsung.com 上のどのアカウントでもハッキングが可能だった」とモスコフスキー氏は説明した。
「ハッカーは、サムスンのユーザーサービス、ユーザーの個人情報、クラウドすべてにアクセスできる可能性がある。」
Steamのセキュリティホールを発見し、あらゆるゲームのライセンスキーを入手したのですが、手に入れたのはたったこれだけ… うーん、嬉しいことに2万ドル
続きを読む
ある概念実証では、研究者は攻撃サイトがCSRFの脆弱性を利用して、標的のSamsung.comにおけるセキュリティ質問を攻撃者が選択したものに変更する方法を示しました。新しいセキュリティ質問とその回答を入手した攻撃者は、「パスワードリセット」機能を利用して標的のSamsungアカウントを盗みます。
状況は研究者が当初考えていたよりもさらに深刻であることが判明しました。サイトにはCSRFの脆弱性が2つしかないと考えていたモスコフスキー氏は、この問題をSamsungに直接報告しました。これもSamsung.comのウェブサイトを通じて行われました。報告中に、彼は3つ目のバグに気づきました。それは、セキュリティの質問と回答を強制的に変更できるものでした。
「最初に2つの脆弱性を発見しました。しかし、自分のレポートを確認するためにsecurity.samsungmobile.comにログインしたところ、個人情報編集ページにリダイレクトされました」とモスコフシ氏は説明した。
「このページはaccount.samsung.comにある類似のページとは似ていませんでした。そこには追加の「秘密の質問」フィールドがありました。」
合計3つのバグが見つかり、それぞれ中、高、重大と評価されました。モスコフスキー氏はこの発見で13,300ドルの報酬を獲得しました。これはかなりの額ですが、10月にSteamで重大なバグを発見して獲得した20,000ドルには遠く及びません。
サムスンはこの件に関するコメント要請に応じなかった。®
