Google обнаружила серьезные уязвимости в коде Samsung для Galaxy S6 Edge. Напомним, что Google полностью не контролирует Android. Компания в рамках лицензии позволяет партнерам вносить изменения в код системы и добавлять свои модули. Именно это может стать причиной проблем для одного из смартфонов Samsung. Издание Apple Insider пишет, что всего за неделю изучения дополнительного кода, который Samsung написала для своего флагманского смартфона Galaxy S6 Edge, специалисты Google смогли отыскать 11 «дыр» в системе безопасности. Ими запросто могут воспользоваться злоумышленники для получения удаленного доступа к переписке, фотографиям и контактам владельца аппарата.
В частности, в отчете говорится о том, что процесс, распаковывающий ZIP-архивы по прямой ссылке из Интернета, работает с системными привилегиями. Это открывает возможности для атак. Еще одна опасная ошибка нашлась в коде почтового приложения, что позволяло сторонним приложениям взламывать почту и перенаправлять письма на другие аккаунты. А переполнение буфера в трех процессах Samsung могли использовать для получения всех системных привилегий и полного контроля над устройством.
Другие пять уязвимостей имеют отношение к системе обработки изображений: две из них позволяли получить расширенные привилегии при открытии изображения в галерее Samsung, а еще три срабатывали при загрузке изображения.
В Google тестированием устройств на Android занимается команда Project Zero. Она ищет уязвимости в коде, который производители добавляют в ОС Android. В частности, специалисты пытаются удаленно взломать смартфоны без участия пользователя и посредством приложения, которое не требует системных разрешений.
После выхода данной статьи мы получили официальный комментарий Samsung Electronics:
— Укрепление доверия со стороны наших клиентов является приоритетной задачей для Samsung. Именно поэтому в октябре прошлого года мы запустили программу автоматического ежемесячного обновления ПО Samsung Security Update. Ранее компания Google сообщила нам о замеченных уязвимостях — восемь из них, наиболее критичных, мы уже исправили в уставленный компанией