Sergey Toshin, người sáng lập startup bảo mật di động Oversecured cho biết trong một phân tích ngày 10/6/2021: "Tác động của những trong các ứng dụng mặc định trên thiết bị Android có thể cho phép tin tặc truy cập và chỉnh sửa danh bạ, cuộc gọi, SMS/MMS của nạn nhân và cài đặt ứng dụng tùy ý với quyền quản trị trên thiết bị hoặc đọc và ghi các tệp tùy ý với quyền người dùng hệ thống. Điều này có thể khiến tin tặc kiểm soát toàn bộ thiết bị”.
Toshin đã báo cáo các lỗ hổng cho Samsung từ tháng 2/2021, sau đó các bản vá được nhà sản xuất phát hành như một phần của bản cập nhật bảo mật hàng tháng trong tháng 4 và tháng 5. Danh sách bảy lỗ hổng gồm:
Đoạn mã có chứa lỗ hổng trong ứng dụng Managed Provisioning
Những trên có thể bị lợi dụng để cài đặt các ứng dụng bên thứ ba tùy ý, cấp đặc quyền quản trị thiết bị để xóa các ứng dụng đã cài đặt khác hoặc đánh cắp các tệp nhạy cảm, đọc hoặc ghi các tệp tùy ý với tư cách là người dùng hệ thống và thậm chí thực hiện các hành động đặc quyền.
Trong video thử nghiệm khai thác lỗ hổng, Oversecured đã xác định rằng có thể tận dụng các lỗi chuyển hướng có chủ đích trong PhotoTable và Secure Folder để chiếm quyền truy cập thẻ SD và đọc danh bạ được lưu trữ trong điện thoại của ứng dụng. Tương tự, bằng cách khai thác 2 lỗ hổng định danh CVE-2021-25397 và CVE-2021-25392, tin tặc có thể ghi đè tệp lưu trữ tin nhắn SMS/MMS với nội dung độc hại và lấy cắp dữ liệu từ thông báo của người dùng.
Mã khai thác cho việc cài đặt ứng dụng tuỳ ý
đã khuyến nghị áp dụng các bản cập nhật firmware mới nhất từ công ty để tránh bất kỳ rủi ro bảo mật tiềm ẩn nào.
Đăng Thứ
(Theo The Hacker News)
08:00 | 12/07/2019
13:00 | 10/03/2022
08:38 | 28/04/2017
08:23 | 14/04/2017
09:00 | 02/08/2024
Chỉ vài ngày sau khi một lỗi trong phần mềm CrowdStrike khiến 8,5 triệu máy tính Windows bị sập, người dùng hệ điều hành này lại đang phải đối mặt với một vấn đề mới sau khi cài đặt bản cập nhật bảo mật tháng 7.
10:00 | 07/06/2024
Phần mềm ghi hình tòa án JAVS là một giải pháp được thiết kế để mang lại khả năng ghi âm kỹ thuật số và tích hợp A/V cho các tòa án, phòng họp và các môi trường tương tự khác. Nó được tạo ra bởi Justice AV Solutions (JAVS), một công ty chuyên về công nghệ âm thanh, hình ảnh cho các tòa án và chính phủ.
14:00 | 28/05/2024
Vừa qua, CISA và FBI cho biết các tin tặc Black Basta đã xâm phạm hơn 500 tổ chức trong khoảng thời gian từ tháng 4/2022 đến tháng 5/2024.
14:00 | 17/05/2024
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
11:00 | 03/09/2024