Některé aplikace předinstalované v zařízeních Samsung představují pro uživatele značné bezpečnostní riziko. S touto informací přišel server Bleeping Computer, který ji získal od zakladatele společnosti Oversecured Sergeje Tošina.
Jihokorejský výrobce nyní pracuje na opravě několika zranitelností, jež by mohly být zneužity ke špionáži nebo k úplnému ovládnutí systému. Bezpečnostní chyby jsou součástí většího souboru zranitelností, které objevil a zodpovědně nahlásil bezpečnostní expert v rámci programu odměn.
Děravé aplikace v telefonech Samsung
Firma Oversecured, která se specializuje na zabezpečení mobilních aplikací, našla jen od začátku tohoto roku více než tucet zranitelností týkajících se zařízení Samsung. U tří z nich jsou v tuto chvíli jakékoli podrobnosti neveřejné, protože představují vysoké riziko.
Aniž by Tošin zabíhal do podrobností, prozradil Bleeping Computeru, že jeden z méně závažných problémů může útočníkům pomoci ukrást SMS zprávy. Další dva jsou však závažnější, protože jejich zneužití nevyžaduje od uživatele žádnou akci. Útočník by je mohl využít ke čtení a/nebo zápisu libovolných souborů se zvýšenými oprávněními.
Zatím není jasné, kdy se k uživatelům dostanou opravy, protože tento proces obvykle trvá asi dva měsíce kvůli testům, jež mají zajistit, že záplaty nezpůsobí další problémy. Tošin všechny tři bezpečnostní chyby zodpovědně nahlásil a v současné době čeká na vyplacení odměny.
Hledání chyb jako dobrá brigáda
Jen od Samsungu bezpečnostní expert letos inkasoval téměř 30 000 dolarů (cca 630 tisíc korun) za odhalení 14 bezpečnostních problémů. Tošin v příspěvku na firemním blogu uvádí technické podrobnosti a ukázku možného zneužití jedné z již opravených chyb.
Chyby v aplikacích předinstalovaných v zařízeních Samsung odhalil pomocí vlastního skeneru, který vytvořil speciálně pro tyto účely. O bezpečnostních nedostatcích informoval již v únoru, kdy také zveřejnil video, ve kterém demonstruje, jak aplikace třetí strany získala práva správce zařízení.
Další problém se týkal aplikace Nastavení a umožňoval získat přístup ke čtení a zápisu libovolných souborů s právy systémového uživatele. Jiná zranitelnost dovolovala práci se soubory pod účtem Telephony, který má přístup k podrobnostem o hovorech a zprávám SMS/MMS.
Není známo, kdy budou všechny problémy opraveny, ale jak již bylo zmíněno, Samsung na tom pracuje. Uživatelům, kteří se chtějí vyhnout potenciálním bezpečnostním rizikům, můžeme jedině doporučit neprodlenou instalaci všech nejnovějších aktualizací firmwaru od výrobce.
