Samsung, önemli bir açığı kapattı

Konum dahil pek çok kişisel bilgi tehlike altındaydı
Yorumlar

Onur Emre Karadağ

Android Developer

Samsung’un başı önemli bir güvenlik açığıyla derde girdi. Hackerların yerleştirdiği kötü amaçlı bağlantı yardımıyla kullanıcılar Samsung hesaplarının kontrolünü kaybediyorlardı. Ukraynalı bir hata avcısı olan Artem Moskowsky açığı keşfedip anında firmaya bildirmiş.

Konum dahil pek çok kişisel bilgi tehlike altındaydı

CSRF (Cross Site Request Forgery) olarak adlandırılan ve hackerların sitenin açığından faydalanarak siteye sanki o kullanıcıymış gibi erişerek işlem yapmasını sağlayan üç adet açık bulundu. Bu açıklar Samsung hesap yönetim sisteminin içerisindeydi ve tuzaklı link yardımıyla kullanıcı hesaplarının kontrol edilebilmesine sebep oluyordu. Keşfedilen güvenlik açıklardan ilki profil detaylarının düzenlenmesini, ikincisi hesap sahibinin gizli sorusunun ve cevabının değiştirilmesini, sonuncusu ise iki faktörlü doğrulama işleminin devre dışı bırakılmasını sağlıyor. Gizli soru ve cevap yardımıyla hesap şifresi sıfırlanabildiği için oldukça riskli bir güvenlik açığıydı. Hesaba şifre sıfırlama yoluyla giriş yapan hacker, konum bilgisinden, akıllı cihazların kontrolüne kadar Samsung hesabıyla ilişkili birçok şeyi görebilirdi.

Bu açıkları keşfeden ve Samsung’a bildiren Artem Moskowsky isimli beyaz şapkalı hackera ise tam 13,300 dolar değerinde para ödülü verildi. Ortaya çıkan raporlarda bu açıkların daha öncesinde kullanılıp kullanılmadığı ile ilgili bir bilgi ise maalesef bulunmuyor.