Lỗ hổng bảo mật, được phát hiện bằng cách sử dụng ứng dụng Mobile Application Security Testing (MAST) của Kryptowire, cho phép các ứng dụng cục bộ bắt chước hoạt động cấp hệ thống và “chiếm đoạt” chức năng được bảo vệ quan trọng. Lỗ hổng có thể cung cấp cho những kẻ tấn công khả năng khôi phục cài đặt gốc (tức là xóa tất cả dữ liệu người dùng), thực hiện cuộc gọi điện thoại (bao gồm cả những số khẩn cấp như 911), cài đặt/gỡ cài đặt ứng dụng, làm suy yếu bảo mật HTTPS bằng cách cài đặt chứng chỉ gốc tùy ý mà không có sự chấp thuận của người dùng.

Alex Lisle, Giám đốc công nghệ tại Kryptowire cho biết: “Bạn đã bao giờ nghĩ rằng ai đó có quyền truy cập vào điện thoại của bạn? Thật không may, bạn có thể đúng. Các ứng dụng di động đang trở thành điểm chính của hoạt động cá nhân và nghề nghiệp, do đó trở thành mục tiêu ngày càng hấp dẫn đối với những kẻ xấu”.

Lỗ hổng CVE-2022-22292 đã được tiết lộ cho Samsung vào ngày 27/11/2021 và được Samsung đánh giá mức độ nghiêm trọng “Cao”. Samsung đã vá lỗ hổng bảo mật vào tháng 2/2022 và cung cấp đến người dùng. Lỗ hổng bảo mật nằm trong ứng dụng Phone được cài đặt sẵn thực thi với các đặc quyền hệ thống trên các thiết bị Samsung chạy Android 9 đến 12. Ứng dụng Phone có thành phần không an toàn cho phép các ứng dụng cục bộ thực hiện các hoạt động đặc quyền mà không cần sự cho phép của người dùng./.