在三星股票流通应用中找到的安全缺陷

2021-06-10 23:28:28

过度表示,漏洞中发现了三个应用程序和组件与三星手机和平板电脑捆绑在一起。过度的创始人Sergey Toshin告诉TechCrunch,即在三星Galaxy S10 +上验证了漏洞,但所有Samsung设备都可能受到影响,因为烘焙的应用程序负责系统功能。

Toshin表示,漏洞可以允许同一设备上的恶意应用程序来窃取受害者的照片,视频,联系人,呼叫记录和消息,并通过劫持三星库存应用程序的权限来更改设置“没有任何用户同意或通知”。

其中一个缺陷通过利用三星的安全文件夹应用程序中的漏洞,可以允许盗窃数据,该应用程序在设备上具有“大集合”的权限。在概念上的验证中,Toshin显示了错误可用于窃取联系人数据。 Samsung的knox安全软件中的另一个错误可能被滥用来安装其他恶意应用程序,而三星Dex中的错误可能已被用于从应用程序,电子邮件收件箱和消息中的用户通知刮除数据。

过度发布的博客文章中漏洞的技术细节,并表示将其报告给三星的错误,修复了缺陷。

三星确认缺陷影响了“选定”的Galaxy设备,但不会提供特定设备列表。 “在全球知识的报道中没有已知的问题,也应该放心,他们的敏感信息没有风险,但没有提供本索赔的证据。 “我们通过4月和5月2021年的软件更新,在我们确定了这个问题时,通过开发和发出安全补丁来解决潜在的脆弱性。”

在今年早些时候推出的启动,在自融资100万美元的Bug Bounty Payouts之后,使用自动化来搜索Android代码中的漏洞。 Toshin在Tiktok找到了类似的安全漏洞,Android的Google Play应用程序。