移動安全公司在三星預裝的應用程序中發現了七個安全漏洞
漏洞可能會影響用戶的個人數據,三星已經修復所有漏洞
最近更新時間 2021-06-10 23:59:57
一家移動安全初創公司在三星預裝的移動應用程序中發現了七個安全漏洞,該公司表示,如果濫用這些漏洞,攻擊者可能會廣泛訪問受害者的個人數據。
Oversecured 表示,在與三星手機和平板電腦捆綁的多個應用程序和組件中發現了這些漏洞。Oversecured 創始人 Sergey Toshin 告訴 TechCrunch,這些漏洞已在三星 Galaxy S10+ 上得到驗證,但所有三星設備都可能受到影響,因為內置應用程序負責系統功能。
Toshin 表示,這些漏洞可能允許同一設備上的惡意應用程序竊取受害者的照片、視頻、聯繫人、通話記錄和消息,並通過劫持三星股票應用程序的權限來“在未經任何用戶同意或通知的情況下”更改設置。
其中一個缺陷可能允許通過利用三星安全文件夾應用程序中的漏洞竊取數據,該應用程序在整個設備上擁有“大量”權限。在概念驗證中,Toshin 展示了該漏洞可用於竊取聯繫人數據。三星 Knox 安全軟件的另一個漏洞可能被濫用來安裝其他惡意應用程序,而三星 Dex 中的一個錯誤可能被用來從應用程序、電子郵件收件箱和消息的用戶通知中抓取數據。
Oversecured 在博客文章中發佈了漏洞的技術細節,並表示已將漏洞報告給三星,後者修復了這些漏洞。
三星確認這些缺陷影響了“特定的”Galaxy 設備,但沒有提供特定設備的列表。
這家初創公司在自籌資金支付 100 萬美元的漏洞賞金後於今年早些時候成立,它使用自動化來搜索 Android 代碼中的漏洞。Toshin 在 TikTok 和 Android 的 Google Play 應用程序中發現了類似的安全漏洞。