ننفرد بحوار خاص مع الباحث الأمني المصري محمد عبد الباسط عن تفاصيل اكتشافه ثغرة خطيرة في تطبيق Find My Mobile الخاص بسامسونج

السلام عليكم ورحمة الله وبركاته

في إطار حوار خاص قامت به منصة ISECNEWS مع الباحث الأمني المصري محمد عبد الباسط تحدثنا فيه عن تفاصيل اكتشافه للثغرة الموجودة بتطبيق Find My Mobile الخاص بسامسونج وتطرقنا أيضاً للعديد من النقاط الأخرى والتي سنسردها.

ولكن في البداية دعونا نعرض لكم نبذة بسيطة عن الباحث الأمني والذي يعد أشهر الباحثين الأمنيين العرب.

التعريف بالباحث الأمني:ـ

هو محمد عبدالباسط النوبى، 26 سنة، من صعيد مصر، مبرمج PHP – Python مهتم جداً وباحث بمجال امن المعلومات ويشارك دوما فى برامج المكافأت الخاصة بالثغرات الامنية.

إكتشافاته:ـ

قام باكتشاف العديد من الثغرات في المواقع والخدمات الخاصة بالكثير من الشركات العالمية والمحلية من أهمها:ـ

كما ذكر أن هناك العديد من الشركات الأخرى والتي لم يفصح عنها نظراً لرغبتها في ذلك.

حساباته على مواقع التواصل الاجتماعية:

فيسبوك: https://fb.com/SymbianSyMoh
تويتر: https://twitter.com/SymbianSyMoh
لينكيد إن: http://eg.linkedin.com/in/symbiansymoh
الموقع الشخصى: http://www.SymbianSyMoh.com

والآن ندخل في التفاصيل:ـ

وبسؤاله عن إن كانت شركة سامسونج قد أعلنت عن برنامج مكافآت أم لا وكيف تم اكتشاف الثغرة؟ أجاب..

حقيقة لم يكن هناك اى برامج مكافأت او Bug Bounty Program تحديداً على منصة سامسونج، الامر كله بدأ بتفعيلى للخدمة في الهاتف الخاص بى فبدر بذهنى ان اقوم بإختبار مدى امان خدمه هامه مثل Find My Mobile خصوصا بسبب تواجدها بشكل اساسى في معظم الاجهزة الخاصه بشركة سامسونج تقريباً ليست هواتف نقاله فقط بل كاميرات و مشغلات MP3 .

كما تطرقنا لسؤاله عن وصف الخدمة من حيث الأهمية والفائدة وطريقة العمل؟

هى خدمة قامت سامسونج بإدراجها فى معظم اجهزتها بالاضافه الى خط انتاج Galaxy تقوم هذه الخدمة بتحديد موقع الموبايل فى حال ضياعه او سرقته وتسمح لصاحب الهاتف التحكم فى الهاتف الخاص به عن بعد فى حال سرقتة بإعطائة بعض الخيارات الهامه مثل قفل الهاتف برمز حماية، وحذف جميع التطبيقات وجميع المحتويات الخاصه بالهاتف فى حالة سرقته حتى لا يستفيد منها السارق.

ما هو نوع الثغرة تحديداً؟

الثغرة تحديدا من نوع Cross Site Request Forgery فى خدمة Samsung Find My Mobile تسمح للمهاجم التحكم عن بعد فى الهواتف الخاصه بشركة سامسونج، مثل تحديد موقع الهاتف على الخريطه، قفل الهاتف برقم سرى من اختيار المهاجم وتغيير الرقم السرى الخاص بالمستخدم، اعطاء الهاتف اوامر عن بعد بالقيام بعمل انذار بل ومسح جميع بيانات هاتف الضحيه، وبوصول المهاجم ونجاح استغلاله لهذة الثغره يسيطر المهاجم على الهاتف ويتملك نفس صلاحيات المستخدم المالك لهذا الهاتف بمعنى انه سوف يشرع له اعطاء نفس الاوامر للهاتف بنفس صلاحيات المالك حيث قام كلا من المعهد القومى للقياسيات والتكنولوجيا الامريكى NIST و فريق US CERT بتقييمها بمعدل عال الخطورة 7.8 من 10 وحجز لها عنوان CVE-2014-8346 عالمياً.

كما أضاف:ـ

هناك عدة اساليب لتنفيذ الهجوم هو اما استهداف اشخاص بعينهم وايقاعهم فى الثغرة، او القيام بإستغلالها بشكل عشوائى على مدى ضيق بكل طرق ال Local Area Networks ARP Poisoning او على مدى اوسع واكبر بواسطة تلغيم بعض المواقع المشهورة والتى تحتوى على معدل زيارات عال سواء كانت اجنبيه او عربيه من خلال انواع كثيرة من الثغرات امثال Stored XSS لحقن كود ال CSRF الخاص بالثغرة فى جلسة عمل الضحية النشطه والقيام بغلق الهاتف برمز قفل يحدده المهاجم نفسه، اتذكر تقريبا من حوالى سنة كانت نفس الخدمة مصابة بها شركة ابل واوقعت بالعديد من الخسائر فى اجهزة iPhone لأنها كانت تقوم بغلق الهاتف برمز حماية مكون من 4 ارقام فقط وتطلب من صاحب الهاتف ان يدفع مبلغ معين من الدولارات لفك القفل بدلا من ضياع بياناته، هذا النوع من المالوير او البرمجيات الضاره يسمى Ransomware وهو نوع يوم فقط بالابتزاز لا تخريب البيانات، فقط يطلب جزء من المال لفك القفل المكون من 4 خانات فقط كلها ارقام “سهل التخمين” لأنها مسألة وقت فقط على عكس سامسونج والتى كانت تسمح لصاحب الهاتفالمهاجم غلق الهاتف عن بعد ايضا ب 4 خانات فقط ولكنها مكونه من ارقام وحروف ورموز مما يجعل عملية التخمين شبة مستحيلة نتيجة لعدد المحاولات الكبير جداً.

كيف قمت بالتبليغ عن الثغرة وكيف كانت استجابة الشركة؟

قمت بالفعل بإبلاغ شركة سامسونج على البريد الاليكترونى الرسمى الخاص بالثغرات الامنيه فى يوم 21-9-2014 قامت الشركة بعدها بالرد على برسالة انهم تلقوا التقرير وجارى العمل على اصلاحها، للأسف بعدها الشركه لم تبالى حتى ولم اتلقى اى رد منهم بأنى على الاقل اقوم بمتابعة حالة التقرير، بعدها بفترة تحديداً يوم 16-10-2014 “بعد 3 رسائل من طرفى حول مدى التقدم الذى تم” ارسلوا لى رد بأنهم اغلقوا الثغره فكان على ان اتأكد من مدى قوة الحماية وبالفعل قمت بإختبار الثغرة ولكن لاحظت بأن الاصلاح الذى تم من طرفهم يمكن تخطية بكل سهوله، فأعدت ارسال رسالة مره اخرى بأكواد مختلفه تقوم بتكرار نفس التأثير وبالفعل المره الثانية قاموا بسدها بشكل كامل، الطريف انى سألتهم فى النهايه عما اذا كان هناك برنامج مكافأت فقالوا لى شكراً لك لا يوجد برنامج مكافأت، لم اتعب نفسى حتى بالرد على رسالتهم لأنى حسيت انها نوع من عدم الاهتمام فوجأت بعدها بأن المعهد القومى للقياسيات والتكنولوجيا بتعيين لها رقم CVE خاص وهو 2014-8346 وتقييمها ب 7.8 من 10 بعدها قامت معظم وسائل الاعلام بالحديث عنها اذكر منهم مواقع كبيره مثل The Hacker News و Computer World و Mashable و Business Insider و DailyMail و MSN و Yahoo وغيرهم.

كيف تعاملت مع الشركات الأخرى حال قيامك بإبلاغهم عن أي ثغرات سواء كانت بمواقعهم أو تطبيقات من إنتاجهم؟

بإختصار شديد هناك بعض الشركات الكبرى او الصغرى التى تقدر مدى تعب الباحثينن الامنيين فيما بذلوه من مجهود فى اكتشاف وابلاغ الجهات المختصه بتلك الثغرات وهناك ايضا الشركات الكبرى والصغرى التى لا تبالى بالمره.

للأسف بعد ذلك قامت شركة سامسونج بكتابة تصريح رسمى على المدونة الرسمية الخاصه بهم لطمأنة المستخدمين، وازعموا فى وسائل الاعلام ان الفيديوهات الخاصه بى والتى كانت بمثابة اثبات صحة الثغرة والتقرير بأن تاريخها كان بعد اصلاحهم للثغرة اى بعد يوم 13-10-2014 وانها فيديوهات مزعومه، للأسف لم يكن لديهم علم بأن الفيديو عندما يكون فى حالة “عدم نشر” او Unlisted على يوتيوب يكون تاريخه هو تاريخ رفعه اما عند نشرة للعامه فيتغير هذا التاريخ لتاريخ النشر وهذا ما قمت به فى 27-10-2014 شعرت بالاهانة بشكل كبير بعد هذة التصريحات وقررت انى مهما كانت درجة صعوبة اى ثغرات امنيه سأكتشفها عندهم فى المستقبل فسوف لا اقوم بإبلاغها لأن المسؤولية القانونية عالاقل تقتضى بإعتراف الطرف الاخر بالمشكلة والعمل على اصلاحها واعلام المبلغ عنها بكل خطوة بالاضافه لعدم الاهانة له وتوجية التوبيخ والازعام بأن ما قام بإبلاغة هم على علم به، فإن كانوا هكذا فلما لم يغلقوها الا بعد التقرير؟! وكيف يضمن ذلك اى شخص يقوم بالابلاغ عن اى مشاكل مستقبلية؟!

تجاهلت الامر واكتفيت بتغطية وسائل الاعلام للموضوع، واكيد استفادت جدا المواقع الخاصة والمناصرة لشركة ابل 😀 فمصائب قوم عند قوم فوائد

كيف ترى نسبة مشاركة الباحثين الأمنيين العرب في مجال اختبار اختراق تطبيقات الويب؟

بالنسبة للخبراء الامنيين العرب ماشاء الله فى الفترة الاخيرة شهدنا دخول الكثير والكثير منهم وانا متفائل جدا بالعرب فى المجال دا تحديداً لأنه كان مجال متروك ومهمل للأسف اتذكر تقريباً عند دخولى قائمة شرف فيسبوك فى شهر نوفمبر الماضى “2013” لم يكن هناك الا 5 اشخاص عرب، الأن ماشاء الله قمنا بإحتلالها ولو ركزنا جهودنا اكثر واكثر سنغلب الهنود 😀 والفضل طبعا يرجع الى اعتراف الشركات وانتهاجها مبدأ برامج المكافأت سواء مالية او كقوائم الشرف او الجوائز العينية.

هل من كلمة أخيرة تحب أن تضيفها؟

تحياتى بشكل خاص لإدارة الموقع وكل القائمين علية وكل القراء واتمنى من الله ان يستمر مجهود العرب فى هذا المجال وان يحققوا كل مايتمنوه وارى جميعهم موظفين او اصحاب شركات تعمل فى نفس المجال وفى كل قوائم الشرف بإذن الله.

شكراً محمد عبد الباسط الباحث الأمني المصري،،، نتمنى لك المزيد من النجاح والتوفيق بإذن الله ونسأل الله أن يرفع من شأن العرب في شتى المجالات

لينكات للمصادر بخصوص تفاصيل الثغرة:ـ

فيديو الثغرة

https://www.youtube.com/watch?v=Q3adkpOEjyI

======================

الخطورة والتفاصيل الفنية:

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8346
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8346
http://www.cvedetails.com/vulnerability-list/vendor_id-822/year-2014/opdos-1/Samsung.html
http://www.inteco.es/vulnDetail/CERT_en/Early_warning/Vulnerabilities_1/detail_vulnerability/CVE-2014-8346
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-8346&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)
http://cve.scap.org.cn/CVE-2014-8346.html
http://cxsecurity.com/cveshow/CVE-2014-8346/
http://www.security-database.com/detail.php?alert=CVE-2014-8346
https://vulnia.com/vulnerability?id=66482
http://cve.circl.lu/cve/CVE-2014-8346
http://en.securitylab.ru/nvd/461171.php
http://www.cvedetails.com/cve/CVE-2014-8346/
http://en.hackdig.com/?tag=CVE-2014-8346
http://digitaltrusting.com/?tag=cve-2014-8346
http://www.cvedetails.com/cve/CVE-2014-8346/
http://www.cvedetails.com/vulnerability-list/vendor_id-822/year-2014/opdos-1/Samsung.html
http://www.cvedetails.com/product/29320/Samsung-Findmymobile.html?vendor_id=822

تغطية وسائل الاعلام العالمية:
================

http://thehackernews.com/2014/10/samsung-find-my-mobile-flaw-allows.html
http://www.computerworld.com/article/2839240/zero-day-in-samsung-find-my-mobile-service-allows-attacker-to-remotely-lock-phone.html
http://mashable.com/2014/10/28/hackers-samsung-find-my-mobile/
http://www.businessinsider.com/hackers-use-find-my-mobile-to-wipe-any-samsung-phone-2014-10
http://www.dailymail.co.uk/sciencetech/article-2812286/Samsung-flaw-lets-hackers-remotely-lock-devices-Bug-Mobile-service-leaves-handsets-open-attack.html
http://9to5google.com/2014/10/28/newfound-vulnerability-lets-attackers-remotely-lock-your-samsung-phone/
http://blogs.wsj.com/cio/2014/10/28/the-morning-download-a-lowes-robot-aims-to-cut-friction-from-big-box-shopping/
http://androidcommunity.com/nist-reports-vulnerability-of-samsungs-find-my-mobile-feature-20141028/
http://www.androidauthority.com/samsung-security-bug-544443/
http://www.msn.com/en-my/news/other/exploit-lets-remote-attackers-lock-your-samsung-phone/ar-BBbEdll
http://finance.yahoo.com/video/hackers-samsung-mobile-feature-attack-140904121.html