Een beveiligingsonderzoeker van Google zegt dat sommige Samsung Android-telefoons werden aangevallen door een commerciële bewakingsleverancier met behulp van drie aan elkaar geketende zero-working day-hacks.
In een blogpost zei Google Task Zero-beveiligingsonderzoeker Maddie Stone dat de exploitketen gericht was op specifieke Samsung-telefoons die een Exynos-chip gebruikten, wat suggereert dat ze waarschijnlijk in Europa of het Midden-Oosten werden verkocht. De getroffen telefoons hadden ook een specifieke kernelversie, waarbij Google zei dat drie modellen daardoor vatbaar waren: de Galaxy S10, A50 en A51.
Hoewel de fouten nu zijn verholpen, was er een geloofwaardig risico voor gebruikers terwijl ze open up waren. Google zegt dat een kwaadaardige Android-app, waarschijnlijk gesideload, de fouten heeft uitgebuit en vervolgens toegang heeft gekregen buiten de sandbox. Daardoor kreeg het toegang tot de rest van de systemen van de Samsung-telefoons, hoewel het nog niet bekend is wat de uiteindelijke lading eigenlijk was.
De keten van exploits die nodig was om de hack te laten werken, vereiste een aantal stappen, waarbij Stone zei dat de eerste kwetsbaarheid in de keten vier keer werd gebruikt, één keer bij elke stap.
Hoewel Google weigert te noemen welke bewakingsleverancier volgens haar erbij betrokken was, merkt het wel op dat de aanval een patroon volgt dat vergelijkbaar is satisfied andere. Die andere kwaadaardige Android-applications werden gebruikt om spy ware voor natiestaten te leveren, wat misschien een idee gaf van wie hier achter zou kunnen zitten.
Google zegt ook dat het eind 2020 alle drie de kwetsbaarheden aan Samsung heeft gemeld, met patches die in maart 2021 zijn uitgerold naar de getroffen handsets.