Злоумышленники могут инфицировать вредоносным ПО и получить удаленный доступ к смартфонам Samsung через публичные точки доступа Wi-Fi, сообщает ИБ-исследователь из компании NowSecure Райан Велтон (Ryan Welton). Согласно данным NowSecure, миллионы устройств Samsung содержат уязвимость, позволяющую произвольно выполнить код.
Проблема заключается в приложении сенсорной клавиатуры SwiftKey, установленном по умолчанию в смартфонах Samsung серии Galaxy S6, S5, S4 и S4 Mini, которое автоматически обновляется, загружая из интернета ZIP-архив с обновлением, используя незашифрованное HTTP-соединение. Злоумышленник может перехватить загрузку и отправить вредоносный архив вместо ZIP-архива с обновлением.
Процесс обновления запускается с доступом на системном уровне. ZIP-файл распаковывается без проверки путей к содержащимся файлам и с полными правами чтения и записи в файловой системе устройства. Из этого следует, что вредоносный архив может перезаписать произвольные файлы на телефон, заменив установленное ПО на вредоносное.
Системное приложение клавиатуры не может быть удалено, и даже если пользоваться другим инструментом, клавиатура будет продолжать запускать процесс обновления в фоновом режиме с полными системными привилегиями. Эксперт сообщил, что данная уязвимость ранее была также обнаружена в Android 4.2 и, вероятнее всего, содержится в более ранних версиях.
В свою очередь, представители SwiftKey заявили, что приложения, доступные в Google Play или Apple App Store, данной уязвимости не подвержены.
Источник: SecurityLab.ru