Nulladik kattintásos támadás Samsung eszközök ellen: újabb biztonsági rés került napvilágra

kami911 képe
Beküldte kami911 -

A CVE-2024-49415 néven nyilvántartott, 8.1-es CVSS pontszámú magas kockázatú sérülékenység a Samsung okostelefonok Monkey's Audio (APE) dekóderének egy hibájában gyökerezik. A sérülékenység az Android 12, 13 és 14 verziót futtató eszközöket érinti, és a Samsung decemberi biztonsági frissítéseiben orvosolták.

Samsung hivatalos közleménye szerint:

„Az libsaped.so könyvtárban található, határokon kívüli írási hiba lehetővé teszi, hogy távoli támadók tetszőleges kódot hajtsanak végre. A hibát az inputok megfelelő ellenőrzésének hozzáadásával javítottuk.”

Hogyan működik a támadás?

A biztonsági hibát Natalie Silvanovich, a Google Project Zero kutatója fedezte fel. Leírása szerint a támadás semmilyen felhasználói beavatkozást nem igényel, így az úgynevezett „nulladik kattintásos” (zero-click) támadások közé tartozik.

A támadás különösen akkor működik, ha a Google Messages alkalmazás gazdag kommunikációs szolgáltatásokkal (RCS) van konfigurálva, ami alapértelmezett beállítás a Galaxy S23 és S24 modelleken. Ebben az esetben a beérkező hangüzeneteket a rendszer automatikusan dekódolja, még mielőtt a felhasználó interakcióba lépne velük.

Silvanovich elmagyarázta, hogy a libsaped.so könyvtár egyik funkciója (saped_rec) egy hibás pufferkezelést hajt végre, ami túlcsordulást okozhat. Egy speciálisan összeállított APE hangfájl segítségével a támadók a rendszer médialejátszási folyamatát (samsung.software.media.c2) összeomlásra kényszeríthetik.

Egyéb érintett komponensek

A Samsung decemberi frissítése nemcsak ezt a hibát javította, hanem egy másik, szintén magas kockázatú sérülékenységet is:

  • CVE-2024-49413: Ez a hiba a Samsung SmartSwitch alkalmazását érintette, amely lehetővé tette a helyi támadók számára, hogy nem megfelelően hitelesített kriptográfiai aláírásokkal rendelkező kártékony alkalmazásokat telepítsenek.

Megelőzés és javítás

A Samsung decemberi biztonsági frissítése orvosolta mindkét hibát. Az érintett felhasználóknak javasolt a legfrissebb szoftververzió telepítése és az automatikus frissítések bekapcsolása. Ez az eset ismét rámutatott arra, hogy a modern okostelefonok fejlett funkciói – mint az automatikus üzenetfeldolgozás – mennyire sebezhetőek lehetnek, ha nem fordítanak kellő figyelmet a biztonságos kódolásra és tesztelésre.

(forrás)