Обнаружена уязвимость в приложении «Телефон», которое по умолчанию установлено на смартфонах Samsung. Через эту уязвимость приложения могут запускать функции системного уровня.

 Возник критический дефицит телефонов Samsung, которыми ежегодно пользуются сотни миллионов человек. Благодаря давней уязвимости можно получить доступ к некоторым критически важным функциям на телефонах без ведома пользователя. Уязвимость CVE-2022-22292, обнаруженная Kryptowire, эффективна между операционными системами Android 9 и 12. Уязвимость вызвана небезопасным компонентом в телефонном приложении, позволяющим приложениям получать доступ к функциям системного уровня. Приложения могут сбрасывать систему до заводских настроек, совершать телефонные звонки, устанавливать приложения и ослаблять безопасность HTTPS. В течение этого времени у пользователя не запрашивается никаких разрешений.

 Уязвимость, о которой Samsung сообщила в ноябре, была сочтена фирмой очень рискованной и исправлена. Заявлено, что патч был распространен на телефоны в февральских обновлениях. Однако могут быть пользователи, затронутые уязвимостью в течение двух-трехмесячного периода между ними.