Specjaliści Google ds. cyberbezpieczeństwa odkryli i opisali niedawno podatność, która dotyczy dekodera Monkey’s Audio w telefonach Samsung. Luka o wysokim stopniu zagrożenia (CVSS 8,1) śledzona jest jako CVE-2024-49415 i w określonych warunkach pozwala na zdalne wykonanie złośliwego kodu bez konieczności interakcji użytkownika (tzw. zero-click). Podatność dotyczy wszystkich urządzeń mobilnych Samsung z systemem Android w wersjach 12, 13 i 14.
„Zapis typu out-of-band w pliku ibsaped.so przed wydaniem SMR z grudnia 2024 r. w ramach miesięcznej aktualizacji zabezpieczeń umożliwia zdalnym atakującym wykonywanie dowolnego kodu” – potwierdził Samsung w komunikacie dotyczącym podatności, opublikowanym w ramach miesięcznych aktualizacji zabezpieczeń.
Łatka dodaje po prostu odpowiednią walidację danych wejściowych przed ich zapisem do pamięci.
Natalie Silvanovich, analityk IT Security z Google Project Zero, która odkryła i zgłosiła lukę, opisała ją jako niewymagającą żadnej interakcji użytkownika w celu uruchomienia i jako nową powierzchnię ataku w określonych warunkach.
Atak zadziała w szczególności, gdy Google Messages będzie skonfigurowane dla tzw. Rich Communication Services (RCS), domyślnej konfiguracji w telefonach Galaxy S23 i S24, ponieważ usługa transkrypcji lokalnie dekoduje przychodzący dźwięk, zanim użytkownik wejdzie w interakcję z wiadomością w celach transkrypcji.
Funkcja saped_rec w bibliotece libsaped.so zapisuje do dmabuf przydzielonego przez usługę multimedialną C2, która zawsze wydaje się mieć rozmiar 0x120000. Podczas gdy maksymalna wartość bloków na ramkę wyodrębniona przez libsapedextractor jest również ograniczona do 0x120000, saped_rec może zapisać do 3 razy więcej bajtów bloków na ramkę, jeżeli bajty na próbkę danych wejściowych wynoszą 24. Oznacza to, iż plik APE o dużym rozmiarze bloków na ramkę może znacznie przepełnić ten bufor.
W hipotetycznym scenariuszu ataku atakujący mógłby wysłać specjalnie spreparowaną wiadomość audio za pośrednictwem Google Messages do dowolnego urządzenia docelowego, które ma włączoną funkcję RCS, powodując awarię procesu kodeka multimedialnego („samsung.software.media.c2”) i możliwość wykonania zaszytego polecenia.
Poprawka Samsunga z grudnia 2024 r. usuwa również inną dziurę o wysokim stopniu krytyczności w SmartSwitch (CVE-2024-49413, wynik CVSS: 7,1), która mogłaby umożliwić lokalnym atakującym zainstalowanie złośliwych aplikacji poprzez wykorzystanie nieprawidłowej weryfikacji podpisu kryptograficznego.
W dzisiejszych czasach można by pomyśleć, iż nasze telefony są bezpieczne, jeżeli chodzi o tzw. core systemu operacyjnego i tylko błędy ludzkie, czyli np. phishing, są dla nas zagrożeniem. Na powyższym przykładzie widzimy, iż tak nie jest. Warto aktualizować nasze telefony tak szybko, jak to tylko możliwe, oraz zwracać uwagę na podejrzane wiadomości, dziwne aplikacje czy zmiany w naszym urządzeniu, których nie jesteśmy autorami.
