Un chercheur de Google Project Zero découvre une vulnérabilité dans les appareils Samsung

Les chercheurs de Google Project Zero ont annoncé vendredi une vulnérabilité à zéro clic désormais corrigée qui pourrait permettre à des attaquants distants d’exécuter du code arbitraire sur des appareils Samsung sans aucune interaction de l’utilisateur.

La vulnérabilité suivie sous le nom CVE-2024-49415 (score CVSS : 8.1) est un problème d’écriture hors limites dans la fonction saped_rec de la bibliothèque libsaped.so, une bibliothèque de service multimédia C2 responsable de la lecture audio. Elle a affecté le décodeur Monkey’s Audio (APE) utilisé dans les appareils phares Galaxy S23 et S24 de Samsung fonctionnant sous les versions Android 12, 13 et 14.

« L’écriture hors limites dans libsaped.so avant la version SMR Déc-2024 Release 1 permet aux attaquants distants d’exécuter du code arbitraire. Le correctif ajoute une validation appropriée des entrées », indique l’avis concernant la faille publié en décembre 2024 dans le cadre des mises à jour de sécurité mensuelles de Samsung.

Comment l’attaque pourrait-elle être réalisée ?

Natalie Silvanovich, une chercheuse de Google Project Zero qui a identifié et signalé la vulnérabilité à Samsung le 21 septembre 2024, a déclaré que l’attaque pouvait être réalisée en envoyant un fichier audio malveillant qui ne nécessite aucune intervention de l’utilisateur (zéro clic), ce qui la rend potentiellement dangereuse.

La faille est survenue en raison de la gestion par Samsung des messages RCS (rich communication services), en particulier dans la façon dont les messages audio entrants sont analysés et traités via l’application Google Messages sur Android. Ce paramètre est activé par défaut sur les modèles Galaxy S23 et S24.

« La fonction saped_rec dans libsaped.so écrit dans un dmabuf alloué par le service multimédia C2, qui semble toujours avoir une taille de 0x120000. Bien que la valeur maximale de blocksperframe extraite par libsapedextractor soit également limitée à 0x120000, saped_rec peut écrire jusqu’à 3 * blocksperframe octets, si les octets par échantillon de l’entrée sont de 24. Cela signifie qu’un fichier APE avec une grande taille de blocksperframe peut déborder considérablement ce tampon », a écrit Silvanovich dans son rapport de bogue.

« Notez qu’il s’agit d’un bogue entièrement distant (0 clic) sur le Samsung S24 si Google Messages est configuré pour RCS (la configuration par défaut sur cet appareil), car le service de transcription décode l’audio entrant avant qu’un utilisateur n’interagisse avec le message à des fins de transcription. »

Dans un scénario d’attaque hypothétique, un attaquant peut exploiter la vulnérabilité en envoyant un message audio spécialement conçu sur des appareils activés RCS, provoquant le plantage du processus de codec multimédia de l’appareil (« samsung.software.media.c2 ») et ouvrant la voie à une exploitation ultérieure.

En plus de la faille ci-dessus, la mise à jour de décembre 2024 de Samsung a également corrigé une autre vulnérabilité : CVE-2024-49413 (score CVSS : 7.1), impliquant l’application SmartSwitch. Cette faille permettait à des attaquants locaux d’installer des applications malveillantes en exploitant une vérification insuffisante de la signature cryptographique.

Bien que Samsung ait corrigé les failles, il est recommandé aux utilisateurs de mettre à jour leurs appareils activés RCS avec les dernières mises à jour de sécurité. De plus, il est conseillé de désactiver RCS dans Google Messages pour réduire davantage le risque d’exploits à zéro clic.