Ricercatore di Google Project Zero Scopre un Exploit nei Dispositivi Samsung

I ricercatori di Google Project Zero hanno divulgato venerdì una vulnerabilità zero-click ora corretta che potrebbe consentire agli attaccanti remoti di eseguire codice arbitrario sui dispositivi Samsung senza alcuna interazione da parte dell’utente.

La vulnerabilità tracciata come CVE-2024-49415 (punteggio CVSS: 8.1) è un problema di scrittura fuori limite nella funzione saped_rec della libreria libsaped.so, una libreria del servizio multimediale C2 responsabile della riproduzione audio. Ha colpito il decoder Monkey’s Audio (APE) utilizzato nei dispositivi di punta Galaxy S23 e S24 di Samsung che eseguono le versioni di Android 12, 13 e 14.

“La scrittura fuori limite in libsaped.so prima del rilascio SMR Dic-2024 consente agli attaccanti remoti di eseguire codice arbitrario. La patch aggiunge una corretta validazione dell’input,” recita l’avviso per il difetto rilasciato a dicembre 2024 come parte degli aggiornamenti di sicurezza mensili di Samsung.

Come potrebbe essere eseguito l’attacco?

Natalie Silvanovich, una ricercatrice di Google Project Zero che ha identificato e segnalato la vulnerabilità a Samsung il 21 settembre 2024, ha dichiarato che l’attacco potrebbe essere effettuato inviando un file audio malevolo che non richiede alcun coinvolgimento dell’utente (zero-click), rendendolo potenzialmente pericoloso.

Il difetto si è verificato a causa della gestione dei messaggi RCS (servizi di comunicazione ricca) da parte di Samsung, specificamente nel modo in cui i messaggi audio in arrivo vengono analizzati e elaborati tramite l’app Google Messages in Android. Questa impostazione è abilitata per impostazione predefinita sui modelli Galaxy S23 e S24.

“La funzione saped_rec in libsaped.so scrive su un dmabuf allocato dal servizio multimediale C2, che sembra sempre avere una dimensione di 0x120000. Mentre il valore massimo di blocksperframe estratto da libsapedextractor è anch’esso limitato a 0x120000, saped_rec può scrivere fino a 3 * blocksperframe byte, se i byte per campione dell’input sono 24. Questo significa che un file APE con una grande dimensione di blocksperframe può sovrascrivere sostanzialmente questo buffer,” ha scritto Silvanovich nel suo rapporto di bug.

“Si noti che questo è un bug completamente remoto (0-click) sul Samsung S24 se Google Messages è configurato per RCS (la configurazione predefinita su questo dispositivo), poiché il servizio di trascrizione decodifica l’audio in arrivo prima che un utente interagisca con il messaggio per scopi di trascrizione.”

In uno scenario ipotetico di attacco, un attaccante può sfruttare la vulnerabilità inviando un messaggio audio appositamente creato su dispositivi abilitati RCS, causando il crash del processo del codec multimediale del dispositivo (“samsung.software.media.c2”) e aprendo la strada a ulteriori sfruttamenti.

Oltre al difetto sopra menzionato, l’aggiornamento di dicembre 2024 di Samsung ha anche corretto un’altra vulnerabilità: CVE-2024-49413 (punteggio CVSS: 7.1), che coinvolgeva l’app SmartSwitch. Questo difetto consentiva agli attaccanti locali di installare applicazioni malevole sfruttando una verifica insufficiente della firma crittografica.

Sebbene Samsung abbia corretto i difetti, si raccomanda agli utenti di aggiornare i loro dispositivi abilitati RCS con gli ultimi aggiornamenti di sicurezza. Inoltre, è consigliabile disabilitare RCS in Google Messages per ridurre ulteriormente il rischio di exploit zero-click.