Ее выявили специалисты компании Kryptowire по тестированию безопасности мобильных приложений, заявив, что уязвимость CVE-2022-22292 позволяла локальным приложениям имитировать действия на уровне системы и «захватывать» критически важные защищенные функции.
Уязвимость дает возможность злоумышленникам инициировать сброс настроек (то есть удалить все пользовательские данные), совершать телефонные звонки (в том числе на экстренные номера, такие как 911), устанавливать/удалять приложения, ослаблять безопасность HTTPS путем установки произвольных корневых сертификатов, все из ненадежных приложений, работающих в фоновом режиме и без одобрения конечного пользователя, – подчеркнули в компании.
Отмечается, что компания была проинформирована об этом еще 27 ноября 2021 года. Южнокорейский гигант присвоил уязвимости «высокий» рейтинг серьезности.
В февральском обновлении системы безопасности Android содержится исправление, поэтому оно обязательно для установки.
Уязвимость была обнаружена в телефонах под управлением Android 9, 10, 11 и 12, в том числе в некоторых из лучших телефонов данного производителя, в таких моделях, как S21 Ultra 5G и S10 Plus, а также в телефоне среднего класса A10e.
Новость по теме