本文来源cnBeta

　　平安探讨人士在三星预装的安卓利用中发觉了若干要害的平安漏洞，假如成功应用这点漏洞，可能会让黑客在未经使用者同意的概况下访问私人数据，并操控设施。

　　搬动平安初创企业Oversecured的创始人Sergey Toshin在周四发表的剖析汇报中显示，这点漏洞可能应允进击者访问和编辑受害者的联系人、手机、短信/彩信，以设施治理员的权限安装任意利用程序，或以体系使用者身份读写任意文献，而且可能改变设施的设计。

　　Sergey Toshin在2021年2月向三星汇报了这点漏洞，以后三星在4月和5月的每月平安革新中发表了补丁，针对之下漏洞：

　　CVE-2021-25356--治理供给中的第三方验证绕过

　　CVE-2021-25388 - Knox焦点中的任意利用安装漏洞

　　CVE-2021-25390 - PhotoTable中的意图重定向

　　CVE-2021-25391 - 平安文献夹中的意图重定向

　　CVE-2021-25392 - 有可能访问DeX的通告战略文献

　　CVE-2021-25393 - 可能以体系使用者身份读/写访问任意文献

　　CVE-2021-25397 - TelephonyUI中的任意文献写入

　　这点漏洞的作用意指着他们可行被应用来安装任意的第三方利用程序，授予设施治理员权限来删除其它已安装的利用程序或窃取感性文献，作为体系使用者读取或写入任意文献，甚而执行特权操作。

　　在一种概念认证（PoC）演示中，黑客可行应用PhotoTable和Secure Folder中的意图重定向漏洞，劫持利用程序的权限，访问SD卡并读取电话中存储的联系人。同样，经过应用CVE-2021-25397和CVE-2021-25392漏洞，进击者可行用恶意内容掩盖存储短信/彩信的文献，窃取使用者通告中的数据。

　　提议三星设施全部者安装三星全新固件革新，以幸免全部潜在的平安风险。