Найдена серьезная уязвимость в аппаратах Samsung

Александр Панасенко 17 Декабря 2012 - 11:51

...

Участники авторитетного форума XDA Developers, посвященного мобильным устройствам, объявили о новом открытии. Пользователь под псевдонимом «alephzain» заявил, что обнаружил уязвимость сразу на нескольких аппаратах Samsung, причем эта уязвимость открывает приложениям доступ ко всей физической памяти устройства.

Опасность очень серьезная: злоумышленники могут использовать вредоносные приложения для уничтожения данных и превращения аппарата в бесполезный «кирпич». Другой, более вероятный сценарий, заключается в незаметном похищении секретных пользовательских данных, пишет soft.mail.ru.

Пользователь «Alephzain» сначала проверил наличие уязвимости на аппарате Samsung Galaxy S III, когда попытался получить Root-доступ. В дальнейшем оказалось, что аналогичные проблемы есть в аппаратах Samsung Galaxy S II, Samsung Galaxy Note II и Meizu MX. Строго говоря, проблема может проявить себя на любых аппаратах, использующих процессор Exynos (4210 и 4412) и код фирменного Android-ядра от Samsung.

Компания Samsung официально еще не отреагировала на сообщение об уязвимости, хотя уже зафиксированы случаи успешного ее использования. Старший модератор XDA Developers, известный под псевдонимом «Chainfire», создал готовый исполняемый пакет APK под названием ExynosAbuse, где уязвимость, открытая пользователем Alephzain, используется для получения Root-привилегий и установки новейшей версии утилиты SuperSU «на любом аппарате с процессорами Exynos4».

В сообщениях энтузиастов-разработчиков упоминаются следующие устройства, подверженные уязвимости: Samsung Galaxy S2 GT-I9100, Samsung Galaxy S3 GT-I9300, Samsung Galaxy S3 LTE GT-I9305, Samsung Galaxy Note GT-N7000, Samsung Galaxy Note 2 GT-N7100, Verizon Galaxy Note 2 SCH-I605 (с заблокированным загрузчиком), Samsung Galaxy Note 10.1 GT-N8000 и Samsung Galaxy Note 10.1 GT-N8010.

Стоит заметить, что далеко не все вредоносные программы для Android могут использовать эту конкретную уязвимость. Кроме того, многие устройства не подвержены этой угрозе просто потому, что построены на других процессорах. Так, пользователь под псевдонимом Supercurio подтвердил, что планшет Nexus 10 не подвержен угрозе, поскольку в нем применяется чип Exynos 5. Сейчас уже известно, что информация из форума XDA дошла до инженеров компании Samsung. К радости пользователей, озабоченных безопасностью своих Android-аппаратов, тот же пользователь Supercurio уже выпустил неофициальное исправление, которое полностью устраняет уязвимость.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Екатерина Быстрова 28 Января 2026 - 12:40

Windows Эксплойты Уязвимости программ Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Google

Уязвимость WinRAR стала массовым орудием киберпреступников

Уязвимость в WinRAR, о которой стало известно ещё летом, оказалась куда популярнее, чем ожидалось. По данным Google Threat Intelligence Group (GTIG), брешь активно используют сразу несколько группировок — от государственных APT до обычных киберпреступников, работающих «за процент».

Речь идёт о серьёзной ошибке класса path traversal (выход за пределы рабочего каталога) под идентификатором CVE-2025-8088, связанной с механизмом Alternate Data Streams (ADS) в Windows.

С её помощью злоумышленники могут незаметно записывать вредоносные файлы в произвольные каталоги системы — например, в папку автозагрузки, обеспечивая себе устойчивость после перезагрузки компьютера.

Изначально уязвимость обнаружили исследователи ESET. В начале августа 2025 года они сообщили о соответствующих кибератаках группировки RomCom. Однако свежий отчёт Google показывает: эксплуатация началась ещё 18 июля 2025 года и продолжается до сих пор, причём сразу несколькими типами атакующих.

Схема атаки обычно выглядит так: в архиве WinRAR прячется безобидный файл-приманка — например, PDF-документ. При этом внутри того же архива через ADS скрываются дополнительные данные, включая вредоносную нагрузку.

Пользователь открывает «документ», а WinRAR в фоновом режиме извлекает скрытый файл с обходом путей и сохраняет его в нужное атакующему место. Часто это LNK, HTA, BAT, CMD или скрипты, которые запускаются при входе в систему.

Среди правительственных кибергрупп, замеченных Google за эксплуатацией CVE-2025-8088, — целый «звёздный состав»:

UNC4895 (RomCom/CIGAR) рассылала фишинговые письма украинским военным и доставляла загрузчик NESTPACKER (Snipbot).
APT44 (FROZENBARENTS) использовала вредоносные ярлыки и украиноязычные приманки для загрузки дополнительных компонентов.
TEMP.Armageddon (CARPATHIAN) до сих пор применяет HTA-загрузчики, оседающие в автозапуске.
Turla (SUMMIT) распространяла свой набор инструментов STOCKSTAY, маскируя атаки под материалы для ВСУ.

Также зафиксированы китайские группировки, которые применяли эксплойт для доставки POISONIVY через BAT-файлы.

Но на этом всё не заканчивается. GTIG отмечает, что уязвимость активно используют и финансово мотивированные злоумышленники. Через WinRAR они распространяют популярные трояны и стилеры — XWorm, AsyncRAT, бэкдоры под управлением Telegram-ботов, а также вредоносные расширения для браузера Chrome, ориентированные на банковские данные.

По оценке Google, большинство атакующих не писали эксплойт сами, а просто купили готовое решение у специализированных продавцов. Один из таких поставщиков, известный под псевдонимом «zeroplayer», рекламировал рабочий эксплойт для WinRAR ещё летом.

Причём это далеко не единственный его «товар»: ранее он предлагал 0-day для Microsoft Office, удалённое выполнение кода в корпоративных VPN, локальное повышение привилегий в Windows и даже обходы средств защиты — по ценам от 80 до 300 тысяч долларов.