Эксперты обнаружили уязвимость в миллионах смартфонов от Samsung

Stfw.Ru: Брешь затрагивает такие устройства, как Samsung Galaxy S6, S5, S4 и S4 Mini.
Злоумышленники могут инфицировать вредоносным ПО и получить удаленный доступ к смартфонам Samsung через публичные точки доступа Wi-Fi, сообщает ИБ-исследователь из компании NowSecure Райан Велтон (Ryan Welton). Согласно данным NowSecure, миллионы устройств Samsung содержат уязвимость, позволяющую произвольно выполнить код.
Проблема заключается в приложении сенсорной клавиатуры SwiftKey, установленном по умолчанию в смартфонах Samsung серии Galaxy S6, S5, S4 и S4 Mini, которое автоматически обновляется, загружая из интернета ZIP-архив с обновлением, используя незашифрованное HTTP-соединение. Злоумышленник может перехватить загрузку и отправить вредоносный архив вместо ZIP-архива с обновлением.
Процесс обновления запускается с доступом на системном уровне. ZIP-файл распаковывается без проверки путей к содержащимся файлам и с полными правами чтения и записи в файловой системе устройства. Из этого следует, что вредоносный архив может перезаписать произвольные файлы на телефон, заменив установленное ПО на вредоносное.
Системное приложение клавиатуры не может быть удалено, и даже если пользоваться другим инструментом, клавиатура будет продолжать запускать процесс обновления в фоновом режиме с полными системными привилегиями. Эксперт сообщил, что данная уязвимость ранее была также обнаружена в Android 4.2 и, вероятнее всего, содержится в более ранних версиях.
В свою очередь, представители SwiftKey заявили, что приложения, доступные в Google Play или Apple App Store, данной уязвимости не подвержены.
 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Эксперты обнаружили уязвимость в миллионах смартфонов от Samsung, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Таинственный смартфон Blackshark на Snapdragon 845 набрал в AnTuTu более 270 тыс. баллов, эксперты считают, что это будущая геймерская модель от Xiaomi - 22.02.2018: STFW.Ru: В базе данных бенчмарка AnTuTu обнаружилось весьма интересное устройство под


•  Официально: Смартфон Meizu X2 получит процессор Snapdragon 845 и выйдет в конце 2018 года по цене $470 - 22.02.2018: STFW.Ru: Первые слухи о смартфоне Meizu X2 появились еще летом прошлого года, однако с


•  Новая схема позволяет мошенникам рассылать спам от имени украинских интернет-магазинов, используя уязвимости в форме регистрации - 22.02.2018: STFW.Ru: Только мы успели написать о фишинговом приложении «Универсальный Мобильный


•  Началось строительство 150-метровых механических часов Джеффа Безоса за $42 млн, которые должны проработать минимум 10 тыс. лет - 22.02.2018: STFW.Ru: На этой неделе состоялось еще одно событие из разряда «долгожданных» –


•  В Android P может появится «антишпионская» функция, которая не даст приложениям использовать камеру в фоновом режиме - 22.02.2018: STFW.Ru: В конце прошлого года инженеры Google разработали технологию, позволяющую


•  «Укрзалізниця» и General Electric готовят сделку на сумму $140 млн - 22.02.2018: STFW.Ru: Государственный оператор железнодорожных транспортных перевозок