Глава компании Oversecured, специализирующейся на безопасности мобильных приложений, Сергей Тошин обнаружил множество уязвимостей в приложениях, предустановленных на устройствах Samsung. Эти баги могут использоваться для слежки за пользователем или получения полного контроля над системой.

Детальная информация о трех найденных уязвимостях пока не разглашается (из-за высокой степени опасности, которую эти баги представляют для пользователей).  Тошин объясняет, что наименее серьезная из этих проблем может помочь злоумышленникам похитить SMS-сообщения жертвы, если пользователя удастся обмануть.

Две оставшиеся проблемы выглядят еще хуже. Для их эксплуатации вообще не потребует никаких действий со стороны пользователя устройства Samsung. Злоумышленник может использовать эти уязвимости для чтения и записи произвольных файлов с повышенными разрешениями.

«Эксплуатация этих ошибок могло позволить злоумышленнику получить доступ и редактировать контакты жертвы, звонки, SMS/MMS, устанавливать произвольные приложения с правами администратора, а также читать и записывать произвольные файлы от имени пользователя системы, которые могли изменить настройки устройства», — пишет эксперт.

Пока неясно, когда для этих проблем появятся патчи, но обычно это занимает около двух месяцев, так как разработчикам нужно протестировать исправления и убедиться, что они не вызывают других проблем.

Тошин сообщил Samsung о багах и в настоящее время ожидает получения вознаграждения. С начала 2021 года исследователь уже заработал около 30 000 долларов за раскрытие 14 проблем только в продуктах компании Samsung.

За семь уже исправленных ошибок исследователю выплатили вознаграждение в размере 20 690 долларов, и теперь Тошин опубликовал в блоге Oversecured технические подробности и PoC-инструкции по эксплуатации для этих багов.

Исследователь обнаружил ошибки в предустановленных на устройствах Samsung приложениях с помощью сканера Oversecured, который создал специально для решения этой задачи. В феврале текущего года он уведомил компанию о проблемах, а также опубликовал видео, демонстрирующее, как стороннее приложение получает права администратора. Впрочем, тот эксплоит имел неприятный побочный эффект: в процессе повышения привилегий все другие приложения на Android-устройстве удалялись.

Эта уязвимость была исправлена в апреле 2021 года. Она затрагивала приложение Managed Provisioning и теперь имеет идентификатор CVE-2021-25356. За эту уязвимость Тошин получил 7000 долларов.

Еще одну крупную награду (5460 долларов) исследователь получил за то, что поделился с Samsung подробностями о проблеме CVE-2021-25393, обнаруженной в  приложении Settings. Она позволяла получить доступ для чтения/записи к произвольным файлам с привилегиями системного пользователя.

Третья и наиболее ценная уязвимость (4850 долларов) из февральского набора патчей позволяла записывать произвольные файлы от имени пользователя Telephony, у которого есть доступ к сведениям о звонках и сообщениям SMS/MMS.

В мае Samsung исправила большинство этих багов, однако Тошин пишет, что Samsung исправила еще один набор из семи ошибок, которые он тоже обнаружил в рамках программы bug bounty. Те проблемы помогали получить доступ для чтения/записи к контактам пользователей, доступ к SD-карте и могли быть чреваты утечкой личной информации, включая номер телефона, адрес и email.

За свою карьеру Сергей Тошин обнаружил уже более 550 уязвимостей в различных продуктах, заработав более миллиона долларов в виде вознаграждений через платформу HackerOne и bug bounty производителей.

Описанные в блоге уязвимости в приложениях Samsung:

  • CVE-2021-25356 - обход сторонней аутентификации в Managed Provisioning
  • CVE-2021-25388 - установка произвольных приложений через Knox Core
  • CVE-2021-25390 - intent-перенаправление в PhotoTable
  • CVE-2021-25391 - intent-перенаправление в Secure Folder 
  • CVE-2021-25392 - возможен доступ к файлу политики уведомлений DeX
  • CVE-2021-25393 - чтения/запись произвольных файлов в качестве системного пользователя в Settings 
  • CVE-2021-25397 - произвольная запись файлов через TelephonyUI

Оставить мнение