Google Project Zero Forscher entdeckt Exploit in Samsung-Geräten

Forscher von Google Project Zero haben am Freitag eine mittlerweile behobene Zero-Click-Sicherheitsanfälligkeit offengelegt, die es Angreifern aus der Ferne ermöglichen könnte, beliebigen Code auf Samsung-Geräten ohne Benutzerinteraktion auszuführen.

Die Sicherheitsanfälligkeit, die als CVE-2024-49415 (CVSS-Score: 8.1) verfolgt wird, ist ein Out-of-Bounds-Schreibproblem in der Funktion saped_rec der libsaped.so Bibliothek, einer Bibliothek des C2-Medienservices, die für die Audio-Wiedergabe verantwortlich ist. Sie betraf den Monkey’s Audio (APE) Decoder, der in Samsungs Flaggschiff-Geräten Galaxy S23 und S24 verwendet wird, die mit den Android-Versionen 12, 13 und 14 laufen.

„Out-of-Bounds-Schreiben in libsaped.so vor SMR Dez-2024 Release 1 ermöglicht es Angreifern aus der Ferne, beliebigen Code auszuführen. Der Patch fügt eine ordnungsgemäße Eingangsvalidierung hinzu“, heißt es in der Mitteilung zu dem Fehler, die im Dezember 2024 im Rahmen von Samsungs monatlichen Sicherheitsupdates veröffentlicht wurde.

Wie könnte der Angriff durchgeführt werden?

Natalie Silvanovich, eine Forscherin von Google Project Zero, die die Sicherheitsanfälligkeit am 21. September 2024 identifizierte und an Samsung meldete, erklärte, dass der Angriff durch das Senden einer bösartigen Audiodatei durchgeführt werden könnte, die keine Benutzerbeteiligung erfordert (Zero-Click), was sie potenziell gefährlich macht.

Der Fehler trat aufgrund von Samsungs Handhabung von RCS (Rich Communication Services) Nachrichten auf, insbesondere in der Art und Weise, wie eingehende Audio-Nachrichten über die Google Messages-App in Android analysiert und verarbeitet werden. Diese Einstellung ist standardmäßig auf den Modellen Galaxy S23 und S24 aktiviert.

„Die Funktion saped_rec in libsaped.so schreibt in einen dmabuf, der vom C2-Medienservice zugewiesen wurde und immer die Größe 0x120000 zu haben scheint. Während der maximale blocksperframe-Wert, der von libsapedextractor extrahiert wird, ebenfalls auf 0x120000 begrenzt ist, kann saped_rec bis zu 3 * blocksperframe Bytes ausgeben, wenn die Bytes pro Sample des Eingangs 24 betragen. Das bedeutet, dass eine APE-Datei mit einer großen blocksperframe-Größe diesen Puffer erheblich überlaufen kann“, schrieb Silvanovich in ihrem Fehlerbericht.

„Beachten Sie, dass dies ein vollständig remote (0-Click) Fehler auf dem Samsung S24 ist, wenn Google Messages für RCS konfiguriert ist (die Standardkonfiguration auf diesem Gerät), da der Transkriptionsdienst eingehende Audiosignale decodiert, bevor ein Benutzer mit der Nachricht zu Transkriptionszwecken interagiert.“

In einem hypothetischen Angriffszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Audio-Nachricht auf RCS-aktivierten Geräten sendet, was dazu führt, dass der Mediencodec-Prozess des Geräts („samsung.software.media.c2“) abstürzt und einen Weg für weitere Ausnutzungen öffnet.

Neben dem oben genannten Fehler hat Samsungs Update vom Dezember 2024 auch eine weitere Sicherheitsanfälligkeit behoben: CVE-2024-49413 (CVSS-Score: 7.1), die die SmartSwitch-App betrifft. Diese Sicherheitsanfälligkeit ermöglichte es lokalen Angreifern, bösartige Anwendungen zu installieren, indem sie unzureichende kryptografische Signaturprüfungen ausnutzten.

Obwohl Samsung die Sicherheitsanfälligkeiten behoben hat, wird empfohlen, dass Benutzer ihre RCS-aktivierten Geräte mit den neuesten Sicherheitsupdates aktualisieren. Darüber hinaus ist es ratsam, RCS in Google Messages zu deaktivieren, um das Risiko von Zero-Click-Exploits weiter zu verringern.