安全研究人员在三星预装的安卓应用中发现了多个关键的安全漏洞,如果成功利用这些漏洞,可能会让黑客在未经用户同意的情况下访问个人数据,并控制设备。移动安全初创公司Oversecured的创始人Sergey Toshin在周四发表的分析报告中表示,这些漏洞可能允许攻击者访问和编辑受害者的联系人、电话、短信/彩信,以设备管理员的权限安装任意应用程序,或以系统用户身份读写任意文件,并且可能改变设备的设置。
这些漏洞的影响意味着它们可以被利用来安装任意的第三方应用程序,授予设备管理员权限来删除其他已安装的应用程序或窃取敏感文件,作为系统用户读取或写入任意文件,甚至执行特权操作。在一个概念验证(PoC)演示中,黑客可以利用PhotoTable和Secure Folder中的意图重定向漏洞,劫持应用程序的权限,访问SD卡并读取手机中存储的联系人。同样,通过利用CVE-2021-25397和CVE-2021-25392漏洞,攻击者可以用恶意内容覆盖存储短信/彩信的文件,窃取用户通知中的数据。
建议三星设备所有者安装三星最新固件更新,以避免任何潜在的安全风险。
稿源:cnBeta.COM
