Luka w samsungach naraża miliony użytkowników na utratę danych

Jeśli masz telefon marki Samsung, to najprawdopodobniej jesteś też posiadaczem—świadomie lub nie—aplikacji "Znajdź mój telefon", która pozwala na zlokalizowanie lub wymazanie utraconego sprzętu. Jak się okazuje, niniejsza apka od wielu lat cierpi na poważny, dotąd nieznany problem z bezpieczeństwem.

Sytuację omówiła szczegółowo portugalska grupa Char49 podczas konferencji DEF CON w minionym tygodniu. Teraz jednak raport trafił także do internetu.

"Ten błąd, po odpowiedniej konfiguracji, może być łatwo wykorzystany i mieć naprawdę poważne konsekwencje dla użytkownika i potencjalnie katastrofalne skutki" – pisze jeden z zaangażowanych badaczy, Pedro Umbelino. Wśród możliwych incydentów wymienia m.in.: całkowitą blokadę telefonu, utratę danych z przywróceniem ustawień fabrycznych, dostęp do dziennika połączeń i SMS-ów, odczyt numeru IMEI czy śledzenie lokalizacji.

Szkodliwość błędu potwierdzono na kilku różnych modelach smartfonów, w tym flagowych Galaxy S9+, S8 oraz S7. Wprawdzie Samsung wydał już ponoć stosowne łatki, więc zagrożenie w teorii zostało unieszkodliwione, ale trzeba jeszcze pamiętać o aktualizacji. Bo patch dystrybuowany jest poprzez Galaxy Store, a nie Sklep Play. Tak czy inaczej, na szczególną uwagę zasługuje w tym przypadku sama architektura zagrożenia. Nie świadczy bowiem najlepiej o kontroli oprogramowania w Samsungu.

Ustalono, że aplikacja "Znajdź mój telefon" sprawdza, czy w pamięci urządzenia znajduje się odpowiedni manifest i na tej podstawie inicjuje połączenie ze wskazanym w nim adresem URL. Wykorzystując dwa również niezabezpieczone przekaźniki, napastnik może w łatwy sposób stworzyć szkodliwe oprogramowanie, które przekieruje ruch na dowolny serwer. I może to być np. serwer pośredniczący, który w imieniu użytkownika zainicjuje wyzerowanie pamięci telefonu. Albo zbierze dane przechowywane w chmurze Samsung Cloud.

"Aplikacja «Znajdź mój telefon» nie powinna mieć żadnych dostępnych publicznie, wyeksportowanych komponentów" – komentuje Umbelino. "Jeśli jest to absolutnie konieczne, na przykład jeśli inne pakiety wywołują te komponenty, powinny być one chronione odpowiednimi uprawnieniami" – podsumował. Teraz na szczęście są, ale pamiętajcie o aktualizacji.