Kryptowire のセキュリティ研究者は、事実上すべての最新の Samsung 製携帯電話 (Android 10、Android 11、Android 12 を搭載した携帯電話、およびそれほど深刻ではありませんが Android 9 を搭載した携帯電話) に影響を及ぼす脆弱性を報告しました。
この脆弱性はCVE-2022-22292と名付けられ、深刻として分類されています。これを利用して、悪意のあるアプリケーションが携帯電話をフォーマットしたり、アプリを自由にインストールまたはアンインストールしたり、システム権限を使用して同様のタスクを実行したりする可能性があります。 Samsung は、この問題を解決するパッチを2 月のセキュリティ アップデートにすでに含めています。
あらゆるアプリのシステム権限
Samsung 独自の脆弱性分類によれば、Samsung の携帯電話にプリインストールされている小規模なシステム アプリケーションの小さな見落としが、重大なセキュリティ問題の原因となる可能性があります。
問題のコンポーネントはcom.samsung.server.telecom 、Samsung がカスタマイズしたバージョンのcom.android.server.telecomで、 AOSP の一部であり、この脆弱性の影響を受けません。このコンポーネントは Android での通話の管理を担当しますが、設計上の欠陥があり、サードパーティのアプリケーションがこのコンポーネントを利用して、システム権限を持つ他のアプリケーションのアクティビティを開始する可能性がありました。
具体的には、このプリインストールされた Samsung アプリケーションには、システム権限を維持しながら、代わりに別のintentを生成できるintentが含まれていました。 intents Android アプリケーションがさまざまなアクティビティ間で、またシステムや他のアプリケーションとの間でデータを受け渡す方法です。この Samsung コンポーネントを使用してシステム権限でインテントを実行すると、悪意のあるアプリケーションがユーザーの介入なしにいくつかの機密タスクを実行する可能性があります。
Kryptowire によると、その可能性は工場出荷時設定へのリセット、アプリケーションのインストールまたはアンインストール、電話番号への通話、証明書のインストールなど多岐にわたります。これらのタスクの多くを実行するために必要なコードは、わずか 5 行にすぎません。このエラーは、Android 10 以降を搭載した Samsung 製携帯電話と、程度は低いですが Android 9 を搭載した Samsung 製携帯電話に影響します。
良いニュースは、このバグを悪用したという情報はなく、修正はすでに 2 月のセキュリティ パッチに含まれているため、最新のアップデートがインストールされているかどうかを確認して損はありません。そうでない場合は、Google Play の内外から不審なアプリをインストールしなければ、当面は十分です。
詳細情報 | クリプトワイヤー