モバイルセキュリティの新興企業が、サムスンのプリインストールモバイルアプリに7つのセキュリティ上の欠陥を発見した。同社によると、この欠陥が悪用された場合、攻撃者が被害者の個人データに広範囲にアクセスできる可能性があるという。
Oversecuredによると、これらの脆弱性はSamsungのスマートフォンとタブレットにバンドルされている複数のアプリとコンポーネントに発見されたという。Oversecuredの創設者セルゲイ・トーシン氏はTechCrunchに対し、これらの脆弱性はSamsung Galaxy S10+で確認されたが、組み込みアプリがシステム機能を担っているため、すべてのSamsungデバイスが影響を受ける可能性があると語った。
トーシン氏は、この脆弱性により、同じデバイス上の悪意あるアプリがサムスンの標準アプリの権限を乗っ取って、被害者の写真、動画、連絡先、通話記録、メッセージを盗み、ユーザーの同意や通知なしに設定を変更できる可能性があると述べた。
脆弱性の一つは、デバイス全体に及ぶ「広範囲の」権限を持つサムスンのセキュアフォルダアプリの脆弱性を悪用することで、データの窃取を可能にするものでした。Toshinは概念実証において、このバグを利用して連絡先データを窃取できることを示しました。サムスンのKnoxセキュリティソフトウェアの別のバグは、他の悪意のあるアプリをインストールするために悪用される可能性があり、Samsung Dexのバグは、アプリからのユーザー通知、メールの受信トレイ、メッセージからデータをスクレイピングするために利用される可能性がありました。
オーバーセキュアードはブログ記事で脆弱性の技術的詳細を公開し、バグをサムスンに報告し、同社が欠陥を修正したと述べた。
サムスンは、これらの脆弱性が「特定の」Galaxyデバイスに影響したことを確認したが、具体的なデバイスのリストは明らかにしなかった。「世界中で既知の問題は報告されておらず、ユーザーの機密情報が危険にさらされていないことをご安心ください」としながらも、この主張の根拠は示さなかった。「当社は、この問題を特定した直後、2021年4月と5月にソフトウェアアップデートを通じてセキュリティパッチを開発し、リリースすることで、潜在的な脆弱性に対処しました。」
今年初めに100万ドルのバグ報奨金を自己資金として調達して設立されたこのスタートアップ企業は、Androidコードの脆弱性を自動化技術で探しています。Toshinは、TikTokとAndroidのGoogle Playアプリにも同様のセキュリティ上の欠陥を発見しています。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
モバイルセキュリティのスタートアップ企業「Oversecured」、バグ報奨金制度により100万ドルの自己資金を調達して創業
ケイティ・ムスーリスによるバグバウンティプログラムの実践すべきこと、すべきでないこと
トピック
Android 、コンピューティング、 Google Play 、 Knox 、メディアとエンターテイメント、携帯電話、モバイルセキュリティ、 Oversecured 、ロシア、 Samsung 、セキュリティ、セキュリティソフトウェア、スマートフォン、テクノロジー、脆弱性
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
