ИБ-компания NowSecure выпустила исправление уязвимости, обнаруженной в прошлом году исследователями безопасности Райяном Велтоном (Ryan Welton) и Джейком Ван Дайком (Jake Van Dyke). Брешь затрагивает порядка 200 млн. (почти 80%) Android-устройств производителя Samsung, в том числе Galaxy S5 и Galaxy Note 4. Уязвимость, получившая название Corrupdate, позволяла установить на устройство потенциально опасное программное обеспечение. Уязвимости был присвоен идентификатор CVE-2015-0863 для GALAXY Apps и CVE-2015-0864 для Samsung Account.
Брешь позволяет осуществить атаку “человек посередине”, в ходе которой атакующий получает возможность заменить легитимное приложение своим. Такие программы являются особо опасными, поскольку с их помощью злоумышленник может получить полный доступ к устройству пользователя и осуществлять различные действия без ведома владельца смартфона.
В то время как пользователь должен одобрить любое обновление для Samsung Account (легитимного или фальшивого), магазину приложений Samsung GALAXY Apps не требуется авторизация пользователя для установки программы. После запуска вредоносное приложение может выполнять ряд различных задач. Например, отслеживать местоположение пользователя, похищать список контактов, размещать нежелательные рекламные баннеры (которые, в свою очередь, могут содержать другое вредоносное ПО) или использовать смартфон как часть ботнета.
Проблема содержится в системных приложениях, которые обычный пользователь не может самостоятельно ни деинсталлировать, ни обновить через Google Play. Компания Samsung выпустила обновления для обоих приложений, и владельцы смартфонов могут проверить версию программ в настройках Менеджера приложений. Уязвимыми являются все версии Samsung Account до версии 1.6.0069 (серия 1.0) и 2.1.0069 (серия 2.0). Также затронуты все версии GALAXY Apps ниже 14120405.03.012. Пользователи, не получившие обновления, могут самостоятельно деактивировать Samsung Account и GALAXY Apps. Для этого в Менеджере приложений необходимо выбрать опцию “Отключить”. (NowSecure/NovostIT)