Find My Mobile to jedna z preinstalowanych aplikacji dostępna na większości popularnych modeli smartphonów marki Samsung. Jednak jest z nią kilka problemów. Z powodu licznych luk w zabezpieczeniach, atakujący są w stanie śledzić czasie rzeczywistym lokalizację ofiar, monitorować ich rozmowy, czytać wiadomości, a nawet usuwać dane przechowywane na telefonie. To całkiem spory zakres możliwości. Niepokojące jest również to, że sam atak jest stosunkowo prosty w przeprowadzeniu. Zaś jak widać, konsekwencje dla użytkowników są bardzo poważne. Zaczynając od odcięcia od usług poprzez trwałą blokadę telefonu, poprzez utratę danych połączoną z przywróceniem ustawień fabrycznych, po wspomniane już wcześniej śledzenie lokalizacji i dostęp do połączeń oraz wiadomości.
Łącznie aplikacja posada cztery podatności – w tym jedną pozwalającą przeprowadzać atak typu man-in-the-disk. Z powodu luk w zabezpieczeniach aplikacja weryfikuje, czy na karcie SD nie znajduje się określony plik („/mnt/sdcard/fmm.prop”) w celu załadowania URL („mg.URL”), W dalszym kroku tworzy ona plik, który następnie może zostać użyty przez atakujących do przechwytywania komunikacji z serwerem. Poprzez wskazanie adresu URL MG na serwer kontrolowany przez atakujących i wymuszenie rejestracji, mogą oni uzyskać wiele informacji na temat użytkownika: adres IP i lokalizację urządzenia, IMEI, markę urządzenia, poziom API, aplikacje do tworzenia kopii zapasowych i dużo więcej informacji.
Atakujący wykorzystują również łańcuch exploitów do przekierowania poleceń wysyłanych z aplikacji Find My Mobile na serwery Samsunga na inny serwer, znajdujący się pod kontrolą atakujących i wykonywania niebezpiecznych poleceń. A teraz naprawdę interesująca rzecz. Serwer przestępców przesyła również żądanie do legalnego serwera Samsung’a… i pobiera odpowiedzi w które następnie wstrzykuje własne polecenia. To właśnie w ten sposób hakerzy mogą śledzić lokalizację urządzenia, przechwytywać dane połączeń i wiadomości tekstowe w celu szpiegowania, blokować telefon w celu zapłacenia okupu i usuwać wszystkie dane poprzez przywrócenie ustawień fabrycznych.
Na atak podatne są niezałatane smartphony Samsung Galaxy S7, S8, S9 i późniejsze.
