Các lỗ hổng được phát hiện bên trong phần mềm tùy chỉnh của Samsung, cho phép kẻ tấn công có được đặc quyền đọc và ghi cao nhất trong kernel.
Nhà nghiên cứu bảo mật Maddie Stone của nhóm Google Project Zero cho biết trong một bài đăng trên blog, chuỗi khai thác nhắm mục tiêu vào điện thoại Samsung sử dụng chip Exynos chạy phiên bản kernel cụ thể.
Điện thoại Samsung được bán với chip Exynos chủ yếu ở khắp châu Âu, Trung Đông và châu Phi.
Stone cho biết điện thoại Samsung bị ảnh hưởng vào thời điểm đó bao gồm Galaxy S10, Galaxy A50 và Galaxy A51. Ảnh: Tech Advisor |
Trước khi được vá, các lỗ hổng đã bị khai thác bởi một ứng dụng Android độc hại, mà người dùng có thể đã bị lừa cài đặt từ bên ngoài cửa hàng ứng dụng. Ứng dụng độc hại cho phép kẻ tấn công thoát khỏi sandbox (hộp cát) và truy cập vào phần còn lại của hệ điều hành.
Google từ chối nêu tên nhà cung cấp giải pháp giám sát, nhưng cho biết việc khai thác giống như các mô hình lây nhiễm gần đây, nơi các ứng dụng Android bị lạm dụng để phát tán phần mềm gián điệp.
Đầu năm nay, các nhà nghiên cứu bảo mật đã phát hiện ra Hermit, một phần mềm gián điệp được phát triển bởi RCS Lab. Hermit được sử dụng trong các cuộc tấn công có chủ đích của các chính phủ với các nạn nhân thường ở Ý và Kazakhstan.
Hermit dựa vào việc lừa người dùng tải và cài đặt ứng dụng độc hại, chẳng hạn như ứng dụng hỗ trợ nhà cung cấp dịch vụ di động trá hình, từ bên ngoài cửa hàng ứng dụng, nhưng sau đó âm thầm đánh cắp danh bạ, bản ghi âm, ảnh, video và dữ liệu vị trí chi tiết...
Google đã báo cáo 3 lỗ hổng cho Samsung vào cuối năm 2020 và Samsung đã tung ra bản vá cho các điện thoại bị ảnh hưởng vào tháng 3-2021, nhưng không tiết lộ vào thời điểm đó rằng các lỗ hổng đang được khai thác tích cực.