S24U e altri dopo attacco ransomware: li tengo o torno a ios?

TheMarsican

geppoG1 L’ attacco sembra mirare agli account, non credo abbiano accesso all’hardware per poter bloccare in futuro

Invece si:

[...] Upon signing in, the victim's device IMEI, along with other relevant identifiable information such as Device Name and Model, becomes associated with this malicious Knox E-FOTA license, essentially the victim's device is now part of an organization (MDM). They then have control over the device, as it is now registered to their E-FOTA devices fleet.[...]

geppoG1 ormai mi fido poco di Android

È un attacco mirato a Samsung, cosa c'entra Android in generale?

Il problema più grande è cliccare su link a random su Facebook...

geppoG1 Al centro assistenza mi dicono che anche cambiando motherboard, devono riscrivere imei e sn della precedente, quindi non so quanto possa aiutare in caso

Questa è l'unica soluzione citata:

[...] It also appears that Samsung's only "solution" I found for affected devices under the Samsung Care+ warranty is to replace the entire motherboard resulting in data loss and e-waste, rather than addressing the malicious license directly. [...]

Ma è anche citato:

[...] The most effective solution is making Samsung aware of this issue. However, they claim that nothing can be done about this, that customers should throw away their phones, and blame it on user error as not to cover it under warranty, along with their standard support channels that are ineffective, especially for those outside of their Knox Business program. [...]

Salvati i dati importanti (foto, video ecc.) e butta via tutti i dispositivi Samsung infetti.

Prossima volta non pigiare su link a random su Facebook, soprattutto se non sai fare analisi di un URL 😉

geppoG1

TheMarsican
Mi riferisco ad Android perché se è successo a Samsung può succedere secondo me a tutti: hanno preso di mira la società in oggetto semplicemente perché è la più venduta e blasonata.
E anche perché, sui sistemi operativi Apple, non si è mai sentito nulla del genere.
Poi, da ridere, fanno di Knox il loro baluardo di sicurezza, e i dispositivi ricevono un blocco proprio da Knox. Mah.
Secondo te, chi ha bucato Samsung, non potrebbe farlo anche con gli altri? Se solo ne fiutasse un adeguato guadagno…
Per il cliccare sui link, credimi, non sono il tipo, e sono una persona abbastanza consapevole, immagina cosa può succedere ad altri tipi di utenti, inconsapevoli, adolescenti e bambini, tecnologicamente ignoranti ecc…
Il problema non è quello, è che tutti si vantano di avere le proprie armi di difesa, ma la verità è che solo una le ha, e mi dispiace.

TheMarsican
Per i dati, fortunatamente ho tutto o quasi su cloud

TheMarsican

geppoG1 Mi riferisco ad Android perché se è successo a Samsung può succedere secondo me a tutti: hanno preso di mira la società in oggetto semplicemente perché è la più venduta e blasonata.

Hanno preso di mira Samsung perchè vende licenze di Knox a pochi soldi ed a chiunque.
Android in generale non c'entra nulla.

Tanto vale che per sistemare le cose basterebbe che Samsung togliesse le licenze per Knox a chi le usa in maniera fraudolenta.
Ma non sembra interessargli granchè.

geppoG1 E anche perché, sui sistemi operativi Apple, non si è mai sentito nulla del genere.

Ah perchè le criticità su WebKit, il motore di Safari, sul kernel di iOS, le vulnerabilità di iMessage per attacchi ''zero-click'' e tante altre falle non ci sono mai state?
La 2FA di iCloud che veniva elusa senza problemi...

https://support.apple.com/en-us/122371 giusto per farti vedere quante falle vengono sistemate ma che in passato sono state sicuramente utilizzate.

geppoG1 Secondo te, chi ha bucato Samsung, non potrebbe farlo anche con gli altri? Se solo ne fiutasse un adeguato guadagno

Qualsiasi gruppo di scammer di questo genere farebbe qualsiasi cosa per guadagno.

geppoG1 Per il cliccare sui link, credimi, non sono il tipo, e sono una persona abbastanza consapevole, immagina cosa può succedere ad altri tipi di utenti, inconsapevoli, adolescenti e bambini, tecnologicamente ignoranti ecc

Lo so benissimo, tocca sempre a me, nella cerchia delle mie conoscenze, riparare i danni fatti per aver premuto il link sbagliato o per aver messo i dati della propria carta su siti di dubbia provenienza.

geppoG1 Il problema non è quello, è che tutti si vantano di avere le proprie armi di difesa, ma la verità è che solo una le ha, e mi dispiace.

Qualsiasi attacante cerca di sfruttare le vulnerabilità dei vari meccanismi che esistono.
È così che va il mondo dell'hacking.

Al giorno di oggi però l'hacking si fa con l'ingegneria sociale.

geppoG1 Per i dati, fortunatamente ho tutto o quasi su cloud

Salvati qualcos'altro che ti serve e quei dispositivi Samsung puoi anche buttarli nel cesso, il rischio che settimana prossima ti blocchino di nuovo tutto per avere altri soldi è alto.

Comunque è un ''attacco'' molto stupido e di base non sfrutta nessuna vulnerabilità.

Premi per mostrare Premi per nascondere

mitch_el

@geppoG1 p Invece di buttarlo vendilo come motherboard rotta che almeno ti ripaghi i 30€ 🙂
A maggior ragione se avevi i dati salvati io MAI avrei pagato dei criminali.
Che poi a dirla tutta sono anni che il mio telefono ha l'autorità di esplodere quando vuole perché le cose importanti sono altrove e penso sia giusto così.

TheMarsican Ho provato a cercare un po' su Google visto che trovo la cosa parecchio interessante, ma non trovo niente di che. Mi sapresti mandare qualche articolo sul funzionamento di questo ransomware?

geppoG1

TheMarsican
Ti rispondo solo per il discorso sicurezza Apple: ho 50 anni e uso smartphone da quando sono nati. L’unica società che nella mia cerchia di conoscenze e dalle informazioni generali che ho non ha MAI comportato tali “disagi” indovina qual’è?

mitch_el
Beato te, io non ho dormito una notte perché non avevo i codici di accesso delle app bancarie e non sapevo cosa potesse succedere e in cosa fossi caduto.

_Lex_

TheMarsican Comunque è un ''attacco'' molto stupido e di base non sfrutta nessuna vulnerabilità.

Potresti per favore spiegarmi meglio come funziona? Esegue l'accesso al cloud Samsung e blocca i dispositivi da remoto tramite chiave univoca di ciascun dispositivo?

EDIT

TheMarsican Comunque di base: si rimanda ad una pagina malevola che registra il dispositivo tramite E-FOTA e poi permetterà all'attaccante di bloccare/sbloccare il dispositivo tramite Knox. (viene by-passata la 2FA sfruttando il login che resta aperto sul dispositivo).

In pratica il dispositivo entra a far parte dell'azienda e loro possono bloccarlo/sbloccarlo.

Ok, quindi in teoria basterebbe non lasciare l'account Samsung attivo?

GioAda

geppoG1 ingenuamente cliccato su un link che sembrava autentico samsung

Non hai solo cliccato, hai anche effettuato il login (solo per essere precisi).

TheMarsican Comunque è un ''attacco'' molto stupido e di base non sfrutta nessuna vulnerabilità.

Esatto, sfrutta una licenza rubata a chissà chi e un link creato ad hoc per prendere il controllo dei dispositivi.
Si usa per i telefoni aziendali/istituzionali/etc etc

mitch_el Che poi non basta una custom rom?

No. Se il dispositivo è bloccato o vincolato da KNOX non puoi usare ODIN etc etc.

TheMarsican quei dispositivi Samsung puoi anche buttarli nel cesso

Ma no... da quanto ho capito stanno già revocando la licenza e KNOX si aggiornerà in automatico, non possono fare niente una volta aggiornato.

TheMarsican

mitch_el Mi sapresti mandare qualche articolo sul funzionamento di questo ransomware?

Ho lasciato i link poco più sopra, non si capisce perchè sul forum XDA sia stato cancellato il 3d.

Comunque di base: si rimanda ad una pagina malevola che registra il dispositivo tramite E-FOTA e poi permetterà all'attaccante di bloccare/sbloccare il dispositivo tramite Knox. (viene by-passata la 2FA sfruttando il login che resta aperto sul dispositivo).

In pratica il dispositivo entra a far parte dell'azienda e loro possono bloccarlo/sbloccarlo.

geppoG1 Ti rispondo solo per il discorso sicurezza Apple: ho 50 anni e uso smartphone da quando sono nati. L’unica società che nella mia cerchia di conoscenze e dalle informazioni generali che ho non ha MAI comportato tali “disagi” indovina qual’è?

Non sono di questa opinione ma sei libero di crederlo.

Ormai hai preso iPhone, tienilo.

Bast

geppoG1 Ti prego, compra un iPhone prima che questo 3d diventi l'ennesimo 3d da duecentocinquanta post inutili... 😃

geppoG1

Bast
Già preso, il giorno dopo

mitch_el
Per cosa? Se intendi per sbloccare, no, il ransom inibisce la porta usb, lo spegnimento, la recovery, il “trova dispositivi “….non c’è soluzione al momento se non pagare.

TheMarsican
Non tengo iPhone perché l’ho preso adesso, ma perché in oltre 10 anni di utilizzo non mi ha mai dato di questi problemi.

_Lex_
Non so come funziona, so solo che nel medesimo momento mi sono ritrovato tutti i dispositivi associati al mio account bloccati

GioAda
Fatto login a cosa? Io ho solo cliccato, e dopo 10 secondi dal click avevo tutto bloccato

Cal

Ma che butti. Lascialo in un cassetto che non si sa mai Samsung decida di risolvere il problema...

mitch_el

Cal Che poi non basta una custom rom?

Cal

mitch_el non so come funzioni knox, né se le rom per S24U esistano

mitch_el

TheMarsican In pratica il dispositivo entra a far parte dell'azienda e loro possono bloccarlo/sbloccarlo.

Non possono essere così fessi in casa Samsung...
Sinceramente pensavo a questioni più complesse, ma alla fine è più facile bucare un una procedura mal pensata/trovare un escamotage all'italiana che fare vero hacking...

Grazie per la spiegazione aggiuntiva, non riuscivo a leggere la discussione su XDA appunto.

GioAda da quanto ho capito stanno già revocando la licenza e KNOX si aggiornerà in automatico, non possono fare niente una volta aggiornato.

Almeno si svegliano😅

TheMarsican

_Lex_ quindi in teoria basterebbe non lasciare l'account Samsung attivo?

Cito:

There are several ways to mitigate this issue before it happens, but the best I've found is to go to Settings > Apps > Samsung account > Set as default and disable "Open supported links."

GioAda hai anche effettuato il login (solo per essere precisi).

Però è interessante vedere come mantenere il login attivo sul dispostivo permetta di by-passare la 2FA.

GioAda sfrutta una licenza rubata a chissà e un link creato ad hoc per prendere il controllo dei dispositivi.
Si usa per i telefoni aziendali/istutuzionali/etc etc

Esattamente.

GioAda Ma no... da quanto ho capito stanno già revocando la licenza e KNOX si aggiornerà in automatico, non possono fare niente una volta aggiornato.

Spero che Samsung lo faccia il prima possibile.
È veramente imbarazzante la gestione delle licenze Knox così...

geppoG1 Non so come funziona, so solo che nel medesimo momento mi sono ritrovato tutti i dispositivi associati al mio account bloccati

Eppure son già un po' di messaggi che lo ripeto🤣

_Lex_ Non ha sfruttato l'accesso già effettuato?

Per by-passare 2FA.

_Lex_

GioAda Non hai solo cliccato, hai anche effettuato il login (solo per essere precisi).

Non ha sfruttato l'accesso già effettuato?

geppoG1 Non so come funziona, so solo che nel medesimo momento mi sono ritrovato tutti i dispositivi associati al mio account bloccati

Una volta cliccato link, ti ha chiesto di eseguire l'accesso oppure no?

mitch_el

geppoG1 Per cosa? Se intendi per sbloccare, no, il ransom inibisce la porta usb, lo spegnimento, la recovery, il “trova dispositivi “….non c’è soluzione al momento se non pagare.

Dicevo ora finché è sbloccato

MaxBarbero

geppoG1 .non c’è soluzione al momento se non pagare

Per curiosità, come ti hanno fatto pagare? Cryptocurrency? O in che maniera

geppoG1

_Lex_
No, non ha chiesto nessun login, semplicemente, click> blocco

_Lex_

geppoG1 No, non ha chiesto nessun login, semplicemente, click> blocco

Grazie.

GioAda Non hai solo cliccato, hai anche effettuato il login (solo per essere precisi).

Quindi no.

TheMarsican There are several ways to mitigate this issue before it happens, but the best I've found is to go to Settings > Apps > Samsung account > Set as default and disable "Open supported links."

Grazie mille!

geppoG1

TheMarsican
Tu ripeti quello che leggi e che ho letto, tecnicamente non si sa come l’hanno messa su, o meglio, si sa, e si sa che è stato talmente semplice da farmi diffidare da Samsung e C.

mitch_el
Si, certo, al prezzo di non avere un Samsung, e allora, cosa lo scelgo a fare un brand piuttosto che un altro?

GioAda

TheMarsican Per by-passare 2FA.

Allora c'è qualcosa che non mi quadra perché normalmente chiede la 2FA.

TheMarsican

mitch_el Non possono essere così fessi in casa Samsung...
Sinceramente pensavo a questioni più complesse, ma alla fine è più facile bucare un una procedura mal pensata/trovare un escamotage all'italiana che fare vero hacking

Considera che le licenze per Knox si trovano tranquillamente in vendita a pochi spicci, recuperabili con 4/5 device attaccati se chiedi 30$ a dispositivo.

geppoG1 Tu ripeti quello che leggi e che ho letto

Però ho comprensione di ciò che leggo🤣

geppoG1 tecnicamente non si sa come l’hanno messa su, o meglio, si sa, e si sa che è stato talmente semplice da farmi diffidare da Samsung e C.

Bho, il mio OnePlus non ha Knox e non uso Facebook dal 15/18 😅

Nessuno è esente dal prendersi un qualsiasi virus o da qualsiasi attacco, ormai è accaduto e bisogna prenderne atto. Prossima volta si farà più attenzione.

Karakurt

geppoG1 Usi Samsung Browser come predefinito?
Perché riesumando il link XDA dall'archivio (state attenti ai link dentro, ecco perché è stato rimosso)
[https://web.archive.org/web/20250915215955/https://yandexwebcache.net/yandbtm?fmode=inject&tm=1757973444&tld=com&lang=en&la=1757937920&text=%22Malicious+KNOX+E-FOTA+Attack+Locking+Devices+%28Ransomware%29%22&url=https%3A//xdaforums.com/t/warning-samsung-malicious-knox-e-fota-attack-locking-devices-ransomware.4759204/&l10n=en&mime=html&sign=4d591fd6352b4f3049f88aa986c0def4&keyno=0]
dice che serve fare il login e a memoria Samsung Browser lo baypassa solitamente perché ti logga in automatico

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile