Устройства Samsung под управлением Android версий с 9 по 12 могут быть подвержены серьезной программной уязвимости, которая позволяет локальным приложениям имитировать действия на уровне системы.

Вредоносные приложения могут использовать критически важные защищенные функции, предоставляя злоумышленникам возможность сброса настроек, совершения телефонных звонков, установки/удаления приложений, ослабления безопасность HTTPS, причем для всего перечисленного не требуется одобрение пользователя.

Уязвимость CVE-2022-22292 была обнаружена Kryptowire, компанией по обеспечению безопасности мобильных устройств, и 27 ноября 2021 года о ней было сообщено Samsung с пометкой «высокая степень серьезности».

Samsung исправила уязвимость с помощью обновления безопасности, выпущенного в феврале 2022 года в рамках текущего процесса обновления безопасности (SMR).

Источником уязвимости является предустановленное приложение «Телефон», которое содержит небезопасный компонент, позволяющий локальным приложениям выполнять операции на уровне системы без авторизации пользователя.