Опасная уязвимость на сайте Samsung

Стало известно об устранении компанией Samsung опасной уязвимости мобильной версии сайта. Злоумышленники могли сбрасывать пароль, отключать двухфакторную авторизацию и получать контроль над учётными записями на сайте.

Ошибка на странице, на которой пользователь отвечал на секретный вопрос, позволяла путём редактуры HTTP-заголовков запроса изобразить, что пользователь пришёл с одной из доверенных страниц, и тем самым обойти меры защиты. Дополнительно выяснилось, что злоумышленник мог переопределить и секретный вопрос, а также ответ на него. В итоге устранению подлежали три уязвимости, оцениваемые от средней серьёзности до критической.

Уязвимости относились к категории CSRF (Cross-Site Request Forgery, подделка межсайтовых запросов). Все они были обнаружены исследователем Артёмом Московским, ранее обнаружившем уязвимость в сервисе Steam.


Возврат к списку