Útočníci mohli zneužít předinstalované aplikace Samsungu ke špehování uživatelů

Odborníci odhalili v předinstalovaných aplikacích pro systém Android na zařízeních Samsung několik kritických bezpečnostních chyb, které v případě zneužití mohly útočníkům zprostředkovat přístup k osobním údajům bez souhlasu uživatelů a převzít kontrolu nad zařízeními.

„Dopad těchto chyb mohl útočníkům umožnit přístup a úpravu kontaktů, hovorů, SMS/MMS oběti, instalaci libovolných aplikací s právy správce zařízení nebo čtení a zápis libovolných souborů jménem uživatele systému, což mohlo změnit nastavení zařízení,“ uvedl ve zveřejněné analýze Sergej Toshin, zakladatel startupu Oversecured zabývajícího se mobilní bezpečností. Toshin nahlásil chyby společnosti Samsung v únoru 2021, načež výrobce vydal záplaty v rámci měsíčních bezpečnostních aktualizací na duben a květen.

Konkrétně bezpečnostní experti Samsung upozornili na tyto zranitelnosti:

CVE-2021-25356 – Obcházení ověřování třetí stranou v nástroji Managed Provisioning.

CVE-2021-25388 – Zranitelnost při instalaci libovolné aplikace v jádře Knox Core.

CVE-2021-25390 – Přesměrování záměru v aplikaci PhotoTable.

CVE-2021-25391 – Přesměrování záměru v Zabezpečené složce.

CVE-2021-25392 – Možnost přístupu k souboru zásad oznámení v DeXu.

CVE-2021-25393 – Možnost přístupu ke čtení/zápisu libovolných souborů jako uživatel systému (týká se Nastavení).

CVE-2021-25397 – Libovolný zápis do souboru v rozhraní TelephonyUI.

Tyto zranitelnosti mohou být zneužity k instalaci libovolných aplikací třetích stran, k udělení práv správce zařízení k odstranění jiných nainstalovaných aplikací nebo ke krádeži citlivých souborů, ke čtení nebo zápisu libovolných souborů jako systémový uživatel, a dokonce k provádění privilegovaných akcí.

V demonstraci PoC (proof-of-concept) společnost Oversecured zjistila, že je možné využít chyby v přesměrování záměru v aplikacích PhotoTable a Secure Folder k převzetí oprávnění aplikací pro přístup na kartu SD a čtení kontaktů uložených v telefonu. Podobně mohl útočník zneužitím CVE-2021-25397 a CVE-2021-25392 přepsat soubor ukládající zprávy SMS/MMS škodlivým obsahem a ukrást data z uživatelských notifikací.

Majitelé zařízení Samsung by měli neprodleně na svá zařízení nainstalovat nejnovější aktualizace, aby se vyhnuli případným bezpečnostním rizikům.

Zdroj: The Hacker News