Varios expertos en materia de seguridad han encontrado dos vulnerabilidades en este servicio de la fundación Mozilla que permite bloquear el dispositivo, realizar el borrado del mismo y modificar el código PIN de acceso. La función «Buscar mi dispositivo» es muy similar a «Buscar mi iPhone», permitiendo encontrar a los usuarios su terminal Firefox OS extraviado.
Esta funcionalidad permite al usuario mediante una interfaz gráfica realizar ciertas operaciones sobre el dispositivo de forma remota y geolocalizarlo gracias al GPS del dispositivo, determinado su posición en caso de robo. Se trata sin lugar a dudas de un servicio muy útil que también existe en Apple (tal y como ya hemos indicado) o Android. De este modo, Firefox OS se une al grupo de estos sistemas operativos, aunque hay que decir que la existencia de estas vulnerabilidades no es una buena noticia, aunque tampoco es algo que no se pueda solventar.
Los expertos en seguridad encargados de detallar los aspectos de las vulnerabilidades han afirmado que se trata de una variación del CVE-2014-8346, para todos aquellos que no os acordéis, se trata de una que sufrió Samsung en un servicio similar al que nos ocupa y que permitía de forma remota la manipulación de los datos del dispositivo, permitiendo realizar el bloqueo del mismo y que el usuario no pudiese hacer uso de él. Sin embargo, a diferencia de la sufrida por el servicio de la marca coreana las que afectan a la función de Firefox OS permite muchas más acciones.
Antes de continuar os vamos dejar con el vídeo de la vulnerabilidad existente en el servicio de Samsung y así hagáis memoria:
Mozilla ya está informada de los fallos presentes en «Buscar mi dispositivo»
Y es que los fallos son bastante importantes, ya que no solo permiten realizar el bloqueo del equipo, algo que permitía el de la firma coreana, sino que además permite realizar el borrado del mismo, provocar que el teléfono suene y modificar el PIN de acceso al terminal, es decir, de la pantalla de bloqueo. Por lo tanto, el usuario podría perder el acceso al mismo sin percatarse de ello.
El punto a favor es que los usuarios deben estar logueados en el servicio para que los atacantes puedan realizar el ataque, por lo que al menos ya se sabe una solución temporal para mitigar las consecuencias, al menos hasta que desde la fundación Mozilla pongan una solución al problema.
Fuente | Softpedia