Google: три смартфона Samsung содержали эксплуатируемые уязвимости
«Дыры» в защите позволяли произвольно считывать и записывать данные в память.
Специалисты Google Project Zero раскрыли подробности о трёх уязвимостях в смартфонах Samsung Galaxy S10, A50 и A51. Их обнаружили в конце 2020 года, а производитель внёс исправления в марте 2021 года.
Уязвимости, зарегистрированные под номерами CVE-2021-25337, CVE-2021-25369 и CVE-2021-25370, позволяли читать и записывать произвольные файлы в память и получать информацию о работе ядра. Все три ошибки допущены в программных компонентах производителя, а не в AOSP (Android) или Linux.
Уточняется, что уязвимости эксплуатировал один из поставщиков коммерческих систем для слежки. Судя по всему, он распространял вредоносное приложение в обход Google Play. Конкретные цели атакующего неизвестны, так как исследователям достался только один из компонентов вредоносного файла.
Google Project Zero отмечает, что Samsung не упоминает в своих бюллетенях безопасности о том, что эти уязвимости использовали в реальных условиях. Но производитель якобы пообещал делать это впредь.