تم الكشف عن عيوب أمان متعددة في تطبيقات Android التي تم تثبيتها مسبقًا من Samsung ، والتي ، إذا تم استغلالها بنجاح ، يمكن أن تسمح للخصوم بالوصول إلى البيانات الشخصية دون موافقة المستخدمين والتحكم في الأجهزة.
“إن تأثير هذه الأخطاء يمكن أن يسمح للمهاجم بالوصول إلى جهات اتصال الضحية والمكالمات أو الرسائل النصية القصيرة/MMS أو تثبيت التطبيقات التعسفية مع حقوق مسؤول الجهاز أو قراءة ملفات تعسفية وتكتبها نيابة عن مستخدم نظام يمكن أن يغير إعدادات الجهاز” ، مؤتمر Sergey Toshin ، مؤشر مبدأ الأمن المتنقل ، ” قال في تحليل نشر الخميس.
أبلغ Toshin عن العيوب إلى Samsung في فبراير 2021 ، وبعد ذلك تم إصدار بقع من قبل الشركة المصنعة كجزء من تحديثات الأمان الشهرية لشهر أبريل ومايو. قائمة نقاط الضعف السبعة كما يلي –
- CVE-2021-25356 – تجاوز مصادقة الطرف الثالث في التزويد المدارة
- CVE-2021-25388 – ضعف تثبيت التطبيق التعسفي في نوكس كور
- CVE-2021-25390 – إعادة توجيه نية في الضوئي
- CVE-2021-25391 – إعادة توجيه نية في مجلد آمن
- CVE-2021-25392 – من الممكن الوصول إلى ملف سياسة الإخطار من DEX
- CVE-2021-25393 – من الممكن قراءة/كتابة الوصول إلى الملفات التعسفية كمستخدم نظام (يؤثر على تطبيق الإعدادات)
- CVE-2021-25397 – ملف تعسفي اكتب في Telephonyui
يعني تأثير هذه العيوب أنها يمكن استغلالها لتثبيت تطبيقات الطرف الثالث التعسفي ، وامنح امتيازات مسؤول الجهاز لحذف التطبيقات المثبتة الأخرى أو سرقة الملفات الحساسة ، أو قراءة أو كتابة الملفات التعسفية كمستخدم نظام ، وحتى تنفيذ الإجراءات المميزة.
في عرض إثبات للمفهوم (POC) ، أثبتت الأجزاء المفرطة أنه من الممكن الاستفادة من عيوب إعادة التوجيه النية في مجلد قابلة للضوء ومؤمن لاختطاف أذونات التطبيقات للوصول إلى بطاقة SD وقراءة جهات الاتصال المخزنة في الهاتف. وبالمثل ، من خلال استغلال CVE-2021-25397 و CVE-2021-25392 ، يمكن للمهاجم أن يكتب الملفات التي تخزن رسائل SMS/MMS بمحتوى ضار وسرقة البيانات من إعلامات المستخدم.
ينصح أصحاب أجهزة Samsung بتطبيق أحدث تحديثات البرامج الثابتة من الشركة لتجنب أي مخاطر أمان محتملة.
