Google обнаружила серьезные уязвимости в коде Samsung для Galaxy S6 edge. Напомним, что Google полностью не контролирует Android. Компания в рамках лицензии позволяет партнерам вносить изменения в код системы и добавлять свои модули.
В частности в отчете говорится о том, что процесс, распаковывающий ZIP-архивы по прямой ссылке из интернета, работает с системными привилегиями. Это открывает возможности для атак.
Также Google отмечает, что приложение для работы с электронной почтой может отдавать команды другим программам на уровне операционный системы. Без авторизации приложение может позволить непривилегированным приложениям пересылать письма на другие аккаунты.
Google нашла и три уязвимости переполнения буфера в драйверах Samsung. Еще пять ошибок допущены в обработки изображений.
Эксперты Google также отметили, что были удивлены простотой, с которой им удалось обнаружить уязвимости.
Дополнено комментарием от Samsung:
Укрепление доверия со стороны наших клиентов является приоритетной задачей для Samsung. Именно поэтому в октябре прошлого года мы запустили программу автоматического ежемесячного обновления ПО Samsung Security Update. Ранее компания Google сообщила нам о замеченных уязвимостях – восемь из них, наиболее критичных, мы уже исправили в уставленный компанией 90-дневный срок. Оставшиеся уязвимости будут исправлены к ноябрьскому обновлению Samsung Security Update, которое выйдет в течение ближайших нескольких недель. Samsung рекомендует пользователям постоянно обновлять установленные приложения и ПО.
