Фахівці Google Project Zero розкрили подробиці про три вразливості у смартфонах Samsung Galaxy S10, A50 та A51. Їх виявили наприкінці 2020 року, а виробник вніс виправлення у березні 2021 року.

Вразливості, зареєстровані під номерами CVE-2021-25337, CVE-2021-25369 та CVE-2021-25370, дозволяли читати та записувати довільні файли на згадку та отримувати інформацію про роботу ядра. Всі три помилки допущені в програмних компонентах виробника, а не AOSP (Android) або Linux.

Уточнюється, що вразливість експлуатував один із постачальників комерційних систем для стеження. Зважаючи на все, він поширював шкідливий застосунок в обхід Google Play. Конкретні цілі зловмисника невідомі, тому що дослідникам дістався лише один із компонентів шкідливого файлу.

Google Project Zero зазначає, що Samsung не згадує у своїх бюлетенях безпеки про те, що ці вразливості використовували у реальних умовах. Але виробник нібито пообіцяв робити це надалі.