Każda aplikacja może zdobyć dane użytkownika na smartfonach Samsunga

Wieść jest bardzo niepokojąca i dotyczy wszystkich urządzeń, w których znajdziemy układy Exynos 4. Na XDA pojawił się wątek o dziurze, która pozwala na uzyskanie uprawnień roota na Galaxy SIII, a także SII i Note II (układy Exynos 4310 i 4412). Na tych urządzeniach, na skutek błędu jądra, każdy użytkownik ma ma dostęp do odczytu i zapisu urządzenia /dev/exynos-mem. Innymi słowy, każdy użytkownik systemowy ma nieograniczony dostęp do fizycznej pamięci urządzenia. Nie jest dobrze, bo oznacza to, że dowolna aplikacja (nawet z Play) może łatwo odczytać dane i wstrzyknąć złośliwy kod.

Miłośnikom zabawy z urządzeniem jest to zapewne na rękę, bo mogą szybko uzyskać pełny dostęp do swoich urządzeń. Na forum już pojawił się exploit ExynosAbuse pozwalający łatwo uzyskać prawa roota i zainstalować SuperSU 0.99 na urządzeniu, ale to tylko jedno z licznych możliwości wykorzystania dziury. Inne nie są tak korzystne…

Samsung został powiadomiony i jeszcze nie zareagował. Prawdopodobnie nie jest też jedynym producentem, nad którego urządzeniami można w ten sposób przejąć kontrolę — na tych samych układach bazują także między innymi smartfony firmy Meizu. W chwili pisania artykułu na szczęście jeszcze nie było doniesień o złośliwym wykorzystaniu luk na jednych z najpopularniejszych obecnie smartfonów na świecie. Dziś na stronie należącego do dewelopera z Francji Project Voodoo pojawiła się łatka tymczasowa, która wykorzystuje znalezioną lukę żeby ją unieszkodliwić (dlatego nie trafi do Play). To rozwiązanie powoduje jednak problemy — jest szansa, że przestanie działać aparat i nie ochroni nas przed atakami przeprowadzanymi przy uruchamianiu urządzenia. Pozostaje mieć się na baczności i poczekać na krok ze strony Samsunga.