Sytuację omówiła szczegółowo portugalska grupa Char49 podczas konferencji DEF CON w minionym tygodniu. Teraz jednak raport trafił także do internetu.
"Ten błąd, po odpowiedniej konfiguracji, może być łatwo wykorzystany i mieć naprawdę poważne konsekwencje dla użytkownika i potencjalnie katastrofalne skutki" – pisze jeden z zaangażowanych badaczy, Pedro Umbelino. Wśród możliwych incydentów wymienia m.in.: całkowitą blokadę telefonu, utratę danych z przywróceniem ustawień fabrycznych, dostęp do dziennika połączeń i SMS-ów, odczyt numeru IMEI czy śledzenie lokalizacji.
Szkodliwość błędu potwierdzono na kilku różnych modelach smartfonów, w tym flagowych Galaxy S9+, S8 oraz S7. Wprawdzie Samsung wydał już ponoć stosowne łatki, więc zagrożenie w teorii zostało unieszkodliwione, ale trzeba jeszcze pamiętać o aktualizacji. Bo patch dystrybuowany jest poprzez Galaxy Store, a nie Sklep Play. Tak czy inaczej, na szczególną uwagę zasługuje w tym przypadku sama architektura zagrożenia. Nie świadczy bowiem najlepiej o kontroli oprogramowania w Samsungu.
Ustalono, że aplikacja "Znajdź mój telefon" sprawdza, czy w pamięci urządzenia znajduje się odpowiedni manifest i na tej podstawie inicjuje połączenie ze wskazanym w nim adresem URL. Wykorzystując dwa również niezabezpieczone przekaźniki, napastnik może w łatwy sposób stworzyć szkodliwe oprogramowanie, które przekieruje ruch na dowolny serwer. I może to być np. serwer pośredniczący, który w imieniu użytkownika zainicjuje wyzerowanie pamięci telefonu. Albo zbierze dane przechowywane w chmurze Samsung Cloud.
"Aplikacja «Znajdź mój telefon» nie powinna mieć żadnych dostępnych publicznie, wyeksportowanych komponentów" – komentuje Umbelino. "Jeśli jest to absolutnie konieczne, na przykład jeśli inne pakiety wywołują te komponenty, powinny być one chronione odpowiednimi uprawnieniami" – podsumował. Teraz na szczęście są, ale pamiętajcie o aktualizacji.