В стандартных мобильных приложениях Samsung обнаружены недостатки безопасности
Стартап по мобильной безопасности обнаружил семь недостатков безопасности в предустановленных мобильных приложениях Samsung, которые, по его словам, в случае злоупотребления могли бы позволить злоумышленникам получить широкий доступ к личным данным жертвы.
Oversecured заявил, что уязвимости были обнаружены в нескольких приложениях и компонентах, поставляемых с телефонами и планшетами Samsung. Основатель Oversecured Сергей Тошин сообщил, что уязвимости были проверены на Samsung Galaxy S10 +, но потенциально могут быть затронуты все устройства Samsung, поскольку встроенные приложения отвечают за функциональность системы.
Тошин сказал, что уязвимости могли позволить вредоносному приложению на том же устройстве украсть фотографии, видео, контакты, записи звонков и сообщения жертвы и изменить настройки «без какого-либо согласия или уведомления пользователя» путем взлома разрешений стандартных приложений Samsung.
Один из недостатков мог позволить кражу данных путем использования уязвимости в приложении Samsung Secure Folder, которое имеет «большой набор» прав на устройстве. В качестве доказательства концепции Тошин показал, что ошибка может быть использована для кражи данных контактов. Другая ошибка в программном обеспечении безопасности Knox от Samsung могла быть использована для установки других вредоносных приложений, в то время как ошибка в Samsung Dex могла использоваться для очистки данных из уведомлений пользователей из приложений, почтовых ящиков и сообщений.
Oversecured опубликовал технические подробности уязвимостей в своем блоге и сообщил, что сообщил об ошибках в Samsung, который исправил недостатки.
Samsung подтвердила, что недостатки затронули «избранные» устройства Galaxy, но не предоставила список конкретных устройств. «Во всем мире не было известных зарегистрированных проблем, и пользователи должны быть уверены, что их конфиденциальная информация не подвергается риску», но не представили никаких доказательств для этого утверждения. «Мы устранили потенциальную уязвимость, разработав и выпустив исправления безопасности через обновление программного обеспечения в апреле и мае 2021 года, как только мы выявили эту проблему».
Стартап, который запустился в начале этого года после самофинансирования выплат по вознаграждению за ошибки в размере 1 миллиона долларов, использует автоматизацию для поиска уязвимостей в коде Android. Тошин обнаружил похожие недостатки безопасности в TikTok и приложении Google Play для Android.