主页保安三星:预装应用程序中的错误允许用户进行间谍活动

三星:预装应用程序中的错误允许用户进行间谍活动

三星正在努力修复影响其手机的多个错误。 黑客可以利用这些漏洞来监视用户或完全控制系统。 这些错误是安全研究人员通过公司的错误赏金计划发现和报告的更多漏洞的一部分。

从年初开始, 谢尔盖·托辛 - 公司创始人 “过度安全” 专攻移动应用安全-检测到十多个 漏洞 影响三星设备。

他们目前列出 其中三个的信息,由于它们对用户构成的高风险。 Toshin 告诉 BleepingComputer,这些漏洞中最不严重的可能允许 黑客 窃取短信,如果他们欺骗用户。

阅读: 三星Galaxy智能手表:如何将其连接到新手机

三星错误 - 用户间谍活动
三星:预装应用程序中的错误允许用户进行间谍活动

另外两个漏洞比较严重. 操作它们不需要三星设备用户的任何操作。 攻击者可以使用它来读取和/或写入具有更高权限的任意文件。

目前尚不清楚修复程序何时可供用户使用,由于过程通常需要两个月左右,由于各种补丁,以确保不会引起进一步的问题。

仅来自三星,东信收到约 年初至今30.000美元,为 揭示14个漏洞. 预计其他三个漏洞将得到修复。

另请参阅: 25%的健康应用程序包含高严重性错误!

黑客在三星设备上的预装应用程序中发现了漏洞,使用 过度安全的扫描仪,专为帮助完成任务而创建。 Toshin 在 XNUMX 月份报告了这些错误,并发布了一段视频,展示了第三方应用程序如何获得设备管理员权限。 Exploit 是当时的零日漏洞,但是却产生了不良的副作用:在获得权限的同时,Android 手机上的所有其他应用程序都被删除了。

三星错误 - 用户间谍活动
三星:预装应用程序中的错误允许用户进行间谍活动

这个错误,现在被监控为 CVE-2021-25356,四月更正。 应用程序受到影响 托管供应. 黑客收到 7.000 $ 供他参考。

Toshin收到了更多 5.460 $ 因为它与三星分享了有关漏洞的详细信息 (CVE-2021-25393)设置应用程序,它允许对具有系统用户权限的任意文件进行读/写访问。

提案: 新的间谍活动针对中东的政治人物!

三星漏洞间谍用户
三星:预装应用程序中的错误允许用户进行间谍活动

三星在 XNUMX 月份处理了大部分这些错误。 Toshin 告诉 BleepingComputer 公司已经修复了它 和另一组七个错误 通过她的漏洞赏金计划揭露。

这些漏洞涉及诸如对用户联系人的读/写访问、对 SD 卡的访问以及个人信息(如电话号码、地址和电子邮件)泄露等风险。

建议用户应用制造商发布的最新固件更新,以避免潜在的安全风险。

Toshin提到神父。他职业生涯中的 550 多个漏洞,获胜 超过 1 万美元的漏洞赏金,通过平台 HackerOne 以及各种漏洞赏金计划。

信息来源:bleepingcomputer.com

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。
spot_img

实时新闻