Verschillende kwetsbaarheden in de smartphonesoftware van Samsung zijn vermoedelijk eind 2020 of begin 2021 gebruikt bij zeroday-aanvallen op gebruikers, maar de fabrikant heeft dit nooit bekendgemaakt, zo stelt Google. Veel leveranciers laten hun gebruikers weten wanneer er actief misbruik wordt gemaakt van een kwetsbaarheid in hun software of producten om gebruikers mee aan te vallen. Die weten zo dat ze een betreffende patch met urgentie moeten installeren

Google heeft een analyse gepubliceerd over drie kwetsbaarheden die via een malafide applicatie werden gebruikt om Samsung-smartphones van gebruikers over te nemen. De beveiligingslekken bevonden zich niet in de standaard Androidcode, maar in de code die Samsung zelf aan het Android-besturingssysteem op de eigen smartphones toevoegt. De betreffende malafide applicatie wist Google niet te achterhalen.

Details over de aanval zelf, zoals tegen wie die was gericht, ontbreken. De gevonden exploit die Google analyseerde dateert van november 2020. Samsung kwam in maart 2021 met een beveiligingsupdate (SMR Mar-2021) voor de drie kwetsbaarheden (CVE-2021-25337, CVE-2021-25369 en CVE-2021-25370). Op het moment dat de patch verscheen werd gebruikers niet verteld dat er misbruik van de kwetsbaarheden was gemaakt.

"Het benoemen wanneer bekend is dat kwetsbaarheden actief worden misbruikt is belangrijk voor zowel aangevallen gebruikers als de security-industrie. Wanneer zerodays niet transparant worden gemeld kunnen we die informatie niet gebruiken om gebruikers verder te beschermen, om zo te begrijpen wat de aanvallers al weten", zegt Maddie Stone van Googles Project Zero. Ze voegt toe dat verdedigers in dit geval achttien maanden op de aanvallers achterlopen. Samsung heeft nog altijd geen kwetsbaarheden als aangevallen aangemerkt, maar zegt dit in de toekomst wel in de release notes te zullen vermelden.