Η Samsung εργάζεται για την επιδιόρθωση πολλαπλών bugs που επηρεάζουν τα κινητά της.
Χάκερς
θα μπορούσαν να εκμεταλλευτούν αυτά τα bugs για
κατασκοπεία
χρηστών ή για ανάληψη πλήρους ελέγχου ενός συστήματος. Τα bugs είναι μέρος ενός μεγαλύτερου συνόλου τρωτών σημείων που ανακαλύφθηκαν και αναφέρθηκαν από έναν ερευνητή
ασφαλείας
μέσω του bug bounty προγράμματος της εταιρείας.
Από τις αρχές του έτους, ο
Sergey Toshin
– ιδρυτής της εταιρείας
“Oversecured”
που ειδικεύεται στην
ασφάλεια
εφαρμογών για κινητά – εντόπισε περισσότερες από δώδεκα
ευπάθειες
που επηρεάζουν τις
συσκευές
της Samsung.
Αναφέρονται επί του παρόντος
πληροφορίες για τρεις από αυτές
, λόγω του υψηλού κινδύνου που ενέχουν για τους
χρήστες
. Ο Toshin δήλωσε στο BleepingComputer ότι η λιγότερο σοβαρή από αυτές τις
ευπάθειες
θα μπορούσε να επιτρέψει σε
χάκερς
να κλέψουν
μηνύματα
SMS, εάν εξαπατήσουν έναν χρήστη.
Διαβάστε επίσης:
Samsung Galaxy
smartwatch: Πώς να το συνδέσετε με το νέο σας κινητό
κατασκοπεία
χρηστών
Οι άλλες δύο
ευπάθειες
είναι πιο σοβαρές
. Η εκμετάλλευσή τους δεν απαιτεί καμία
ενέργεια
από τον χρήστη της Samsung συσκευής. Ένας επιτιθέμενος θα μπορούσε να τη χρησιμοποιήσει για να διαβάσει ή / και να γράψει αυθαίρετα
αρχεία
με αυξημένα
δικαιώματα
.
Δεν είναι σαφές πότε θα είναι διαθέσιμες οι επιδιορθώσεις στους
χρήστες
, καθώς η διαδικασία διαρκεί συνήθως περίπου δύο μήνες, λόγω διαφόρων δοκιμών της ενημέρωσης κώδικα, προκειμένου να διασφαλιστεί ότι δεν θα προκαλέσει άλλα προβλήματα.
Μόνο από τη Samsung, ο Toshin έλαβε περίπου
30.000 $ από την αρχή του έτους
, για την
αποκάλυψη 14 ευπαθειών
. Αναμένεται η επιδιόρθωση και των άλλων τριών ευπαθειών.
Δείτε ακόμη:
To 25% των εφαρμογών υγείας περιέχει σφάλματα υψηλής σοβαρότητας!
Ο χάκερ ανακάλυψε τα bugs σε pre-installed apps σε Samsung
συσκευές
, χρησιμοποιώντας το
Oversecured scanner
, που δημιούργησε ειδικά για να βοηθήσει στο task. Ο Toshin ανέφερε τα bugs τον Φεβρουάριο, ενώ δημοσίευσε επίσης ένα
βίντεο
που δείχνει πώς ένα third-party app απέκτησε
δικαιώματα
διαχειριστή συσκευής. Το exploit, μια zero-day εκείνη τη στιγμή, είχε ανεπιθύμητη παρενέργεια, ωστόσο: κατά την απόκτηση αυξημένων προνομίων, όλα τα άλλα apps στο Android τηλέφωνο διαγράφηκαν.
κατασκοπεία
χρηστών
Αυτό το bug, που παρακολουθείται πλέον ως
CVE-2021-25356
, διορθώθηκε τον Απρίλιο. Επηρεάστηκε η
εφαρμογή
Managed Provisioning
. Ο χάκερ έλαβε
7.000$
για την αναφορά του.
Ο Toshin έλαβε άλλα
5.460$
επειδή μοιράστηκε με τη Samsung λεπτομέρειες σχετικά με μία
ευπάθεια
(CVE-2021-25393)
στο
Settings app
, που επέτρεπε την απόκτηση πρόσβασης ανάγνωσης / εγγραφής σε αυθαίρετα
αρχεία
με
δικαιώματα
χρήστη συστήματος.
Πρόταση:
Νέα εκστρατεία κατασκοπείας στοχεύει πολιτικούς στη Μέση Ανατολή!
κατασκοπεία
χρηστών
Η Samsung αντιμετώπισε τα περισσότερα από αυτά τα bugs τον Μάιο.
Ο Toshin ανέφερε στο BleepingComputer ότι η
εταιρεία
επιδιόρθωσε
κι ένα άλλο σύνολο επτά σφαλμάτων
που αποκαλύφθηκαν μέσω του bug bounty προγράμματός της.
Αυτά τα bugs ενέχουν κινδύνους, όπως πρόσβαση ανάγνωσης / γραφής σε επαφές χρηστών, πρόσβαση στην κάρτα SD και
διαρροή
προσωπικών πληροφοριών – όπως αριθμός τηλεφώνου, διεύθυνση και email.
Στους
χρήστες
συνιστάται να εφαρμόζουν τα πιο πρόσφατα firmware updates που κυκλοφορούν από τον κατασκευαστή, για την αποφυγή πιθανών κινδύνων
ασφαλείας
.
Ο Toshin ανέφερε π
ερισσότερες από 550
ευπάθειες
στην καριέρα του
, κερδίζοντας
πάνω από 1 εκατομμύριο δολάρια σε bug bounties
, μέσω της πλατφόρμας
HackerOne
και διαφόρων bug bounty προγραμμάτων.
Πηγή πληροφοριών: bleepingcomputer.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
Bugs σε pre-installed apps επιτρέπουν την κατασκοπεία χρηστών | O Efialtis
[…] εδώ Bugs σε pre-installed apps επιτρέπου&n… για να διαβάσετε […]