Компанию Samsung уведомили о брешах два месяца тому назад, однако они до сих пор не исправлены.
Итальянский исследователь в области информационной безопасности Роберто Палеари (Roberto Paleari) опубликовал информацию об уязвимостях, которые присутствуют в смартфонах, работающих на базе Android. Отметим, что Samsung уведомили о проблемах в январе 2013 года, однако компания никак не отреагировала на сообщения исследователя.
Учитывая уровень опасности обнаруженных брешей, исследователь решил не раскрывать их технические подробности, а только рассказал о результатах их возможной эксплуатации.
В частности, использование двух уязвимостей может позволить мошенникам устанавливать на устройство приложения с повышенными привилегиями без ведома пользователя. Еще одна брешь предоставляет возможность отправлять SMS-сообщения. Проэксплуатировав четвертую уязвимость, злоумышленники могут выполнять на устройстве пользователя практически любые действия: от телефонных звонков до отправки писем электронной почты. Последняя обнаруженная исследователем брешь позволяет изменять настройки на смартфонах Samsung, к примеру, настройки интернет-соединения.
Демонстрация одной из уязвимостей доступна на видео.
«Все уязвимости можно проэксплуатировать, используя даже непривилегированное приложение…Это позволяет злоумышленнику скрыть вредоносный код внутри приложения с низкими привилегиями, распространяемыми через Google Play или магазин Samsung Apps», - отмечает Палеари.
Ладно, не доказали. Но мы работаем над этим