Благодаря уязвимости у злоумышленников появилась возможность управлять сторонним телефоном через приложения, причиной чему послужил неправильный контроль доступа, передает Zakon.kz.

Её выявили специалисты компании Kryptowire по тестированию безопасности мобильных приложений, заявив, что уязвимость CVE-2022-22292 позволяла локальным приложениям имитировать действия на уровне системы и «захватывать» критически важные защищенные функции.

Уязвимость даёт возможность злоумышленникам инициировать сброс настроек (то есть удалить все пользовательские данные), совершать телефонные звонки (в том числе на экстренные номера, такие как 911), устанавливать/удалять приложения, ослаблять безопасность HTTPS путём установки произвольных корневых сертификатов, все из ненадежных приложений, работающих в фоновом режиме и без одобрения конечного пользователя, – подчеркнули в компании.

Отмечается, что компания была проинформирована об этом ещё 27 ноября 2021 года. Южнокорейский гигант присвоил уязвимости «высокий» рейтинг серьёзности.

В февральском обновлении системы безопасности Android содержится исправление, поэтому оно обязательно для установки.