Společnost Kryptowire, která se zabývá mobilní bezpečností, zjistila, že některé telefony Samsungu mohou být zranitelné vůči chybě s označením CVE-2022-22292. Ta je schopna poskytnout škodlivým aplikacím třetích stran velmi nebezpečnou úroveň kontroly. Týká se to přesněji některých smartphonů Galaxy běžících na Androidu 9 až 12.
Vulnerabilita byla nalezena v různých telefonech Samsungu, včetně vlajkových lodí z minulých let jako Galaxy S21 Ultra nebo Galaxy S10+, ale např. i v modelu pro střední třídu Galaxy A10e. Zranitelnost byla předinstalována v telefonní aplikaci a mohla udělit oprávnění a schopnosti systémového uživatele aplikaci třetí strany bez vědomí uživatele. Hlavní příčinou bylo nesprávné řízení přístupu projevující se v aplikaci Telefon, přičemž problém byl specifický pro zařízení Samsungu.
Zranitelnost mohla umožnit aplikaci bez oprávnění provádět různé akce, jako je instalace nebo odinstalace náhodných aplikací, resetování zařízení do továrního nastavení, volání na náhodná čísla nebo oslabení bezpečnosti protokolu HTTPS instalací vlastního kořenového certifikátu. Samsung o ní byl informován koncem loňského roku, načež ji označil za vysoce nebezpečnou. Opravil ji o několik měsíců později, konkrétně v únorové bezpečnostní aktualizaci. Pokud tedy máte telefon Galaxy s Androidem 9 a novějším, což je ostatně nanejvýš pravděpodobné, ujistěte se, že ji máte nainstalovanou.