移动安全公司在三星预装的应用程序中发现了七个安全漏洞

一家移动安全初创公司在三星预装的移动应用程序中发现了七个安全漏洞，该公司表示，如果滥用这些漏洞，攻击者可能会广泛访问受害者的个人数据。

Oversecured 表示，在与三星手机和平板电脑捆绑的多个应用程序和组件中发现了这些漏洞。Oversecured 创始人 Sergey Toshin 告诉 TechCrunch，这些漏洞已在三星 Galaxy S10+ 上得到验证，但所有三星设备都可能受到影响，因为内置应用程序负责系统功能。

Toshin 表示，这些漏洞可能允许同一设备上的恶意应用程序窃取受害者的照片、视频、联系人、通话记录和消息，并通过劫持三星股票应用程序的权限来“在未经任何用户同意或通知的情况下”更改设置。

其中一个缺陷可能允许通过利用三星安全文件夹应用程序中的漏洞窃取数据，该应用程序在整个设备上拥有“大量”权限。在概念验证中，Toshin 展示了该漏洞可用于窃取联系人数据。三星 Knox 安全软件的另一个漏洞可能被滥用来安装其他恶意应用程序，而三星 Dex 中的一个错误可能被用来从应用程序、电子邮件收件箱和消息的用户通知中抓取数据。

Oversecured 在博客文章中发布了漏洞的技术细节，并表示已将漏洞报告给三星，后者修复了这些漏洞。

三星确认这些缺陷影响了“特定的”Galaxy 设备，但没有提供特定设备的列表。

这家初创公司在自筹资金支付 100 万美元的漏洞赏金后于今年早些时候成立，它使用自动化来搜索 Android 代码中的漏洞。Toshin 在 TikTok 和 Android 的 Google Play 应用程序中发现了类似的安全漏洞。