Apps da Samsung em celulares Galaxy têm falha que deixa espionar usuários

Samsung diz que as falhas foram corrigidas através de atualizações de software emitidas aos dispositivos em abril e maio

Bruno Gall De Blasi
• Atualizado há 2 anos e 11 meses
Samsung Galaxy M21s (Imagem: Darlan Helder/Tecnoblog)
Samsung Galaxy M21s (Imagem: Darlan Helder/Tecnoblog)

Os celulares e tablets Samsung Galaxy saem da caixa com aplicativos nativos da marca. Mas alguns desses softwares têm vulnerabilidades que permitem desde o acesso às informações do usuário até à instalação de apps sem o conhecimento do proprietário do dispositivo, segundo a companhia de segurança digital Oversecured nesta quinta-feira (10). Em nota, a Samsung informou que as vulnerabilidades foram corrigidas.

O relatório apresenta sete brechas em apps que acompanham os dispositivos da Samsung. Ao TechCrunch, o fundador da empresa de segurança, Sergey Toshin, explicou que as vulnerabilidades foram verificadas em um Galaxy S10+. Mas ele alerta que outros dispositivos da fabricante poderiam ser igualmente afetados pelos problemas.

As falhas atingem alguns aplicativos nativos. Entre os riscos causados pelas vulnerabilidades reveladas, está o acesso às chamadas, contatos e mensagens das vítimas. Os invasores também conseguiriam instalar apps com permissão de administrador e alterar as configurações do sistema sem que o usuário saiba.

Confira as vulnerabilidades reportadas no relatório da Oversecured a seguir:

Identificação da falha Aplicativo afetado Descrição da falha
CVE-2021-25388 Knox Core (com.samsung.android.knox.containercore) Instalação de apps arbitrários e roubo de arquivos arbitrário em todo o dispositivo
CVE-2021-25356 Provisionamento gerenciado (com.android.managedprovisioning) Instalação de apps de terceiros com permissões de administrador
CVE-2021-25391 Pasta Segura (com.samsung.knox.securefolder) Obter acesso a provedores de conteúdo arbitrários
CVE-2021-25393 SecSettings (com.android.settings) Obter acesso a provedores de conteúdo arbitrários que levam ao acesso de leitura e gravação a arquivos arbitrários como usuário do sistema (UID 1000)
CVE-2021-25392 Samsung DeX System UI (com.samsung.desktopsystemui) Capacidade de alterar a configuração da política de notificação
CVE-2021-25397 TelephonyUI (com.samsung.android.app.telephonyui) (Sobre)escrever arquivos arbitrários como UID 1001
CVE-2021-25390 PhotoTable (com.android.dreams.phototable) Redirecionamento de intenção que leva à obtenção de acesso a provedores de conteúdo arbitrários

O que diz a Samsung?

A Oversecured já avisou à Samsung sobre as vulnerabilidades. Ao TechCrunch, a fabricante sul-coreana confirmou as falhas em modelos “selecionados”. Mas não informou exatamente quais dispositivos foram atingidos pelas brechas.

“Não houve nenhum problema relatado globalmente e os usuários devem ter certeza de que suas informações confidenciais não estão em risco”, afirmaram. “Abordamos a vulnerabilidade em potencial desenvolvendo e emitindo patches de segurança por meio de atualização de software em abril e maio de 2021, assim que identificamos este problema”.

Cabe lembrar que é importante manter o celular com update mais recente instalado para evitar falhas de segurança. Saiba como atualizar celulares Samsung Galaxy:

  1. Abra as configurações do sistema;
  2. Vá em “Atualização de software”;
  3. Toque em “Baixar atualizações manualmente”;
  4. Aguarde o sistema verificar se há uma atualização disponível e leia as instruções com calma;
  5. Toque em “Instalar agora” ou “Agendar atualização”.

Com informações: BleepingComputer, Oversecured (Blog) e TechCrunch

 

Leia | Como acessar, criar ou desativar a Pasta Segura em um celular Samsung

Relacionados

Escrito por

Bruno Gall De Blasi

Bruno Gall De Blasi

Ex-autor

Bruno Gall De Blasi é jornalista e cobre tecnologia desde 2016. Sua paixão pelo assunto começou ainda na infância, quando descobriu "acidentalmente" que "FORMAT C:" apagava tudo. Antes de seguir carreira em comunicação, fez Ensino Médio Técnico em Mecatrônica com o sonho de virar engenheiro. Escreveu para o TechTudo e iHelpBR. No Tecnoblog, atuou como autor entre 2020 e 2023.