Google Project Zeroの研究者がSamsungデバイスの脆弱性を発見

Google Project Zeroの研究者は金曜日に、ユーザーの操作なしにリモート攻撃者がSamsungデバイス上で任意のコードを実行できる可能性のある、現在はパッチが適用されたゼロクリック脆弱性を公開しました。

この脆弱性はCVE-2024-49415（CVSSスコア：8.1）として追跡されており、音声再生を担当するC2メディアサービスのlibsaped.soライブラリのsaped_rec関数におけるバッファオーバーランの問題です。これは、Androidバージョン12、13、14を実行しているSamsungのフラッグシップGalaxy S23およびS24デバイスで使用されるMonkey’s Audio（APE）デコーダに影響を与えました。

「SMR Dec-2024 Release 1以前のlibsaped.soにおけるバッファオーバーランにより、リモート攻撃者が任意のコードを実行できる。パッチは適切な入力検証を追加する」と、2024年12月にSamsungの月次セキュリティ更新の一環として公開された脆弱性に関するアドバイザリーには記載されています。

攻撃はどのように行われる可能性があるか？

2024年9月21日にこの脆弱性を特定し、Samsungに報告したGoogle Project Zeroの研究者Natalie Silvanovichは、攻撃はユーザーの関与を必要としない悪意のある音声ファイルを送信することによって実行される可能性があり（ゼロクリック）、非常に危険であると述べました。

この脆弱性は、SamsungがRCS（リッチコミュニケーションサービス）メッセージを処理する方法、特にAndroidのGoogle Messagesアプリを通じて受信音声メッセージが解析および処理される方法に起因しています。この設定はGalaxy S23およびS24モデルでデフォルトで有効になっています。

「libsaped.soのsaped_rec関数は、C2メディアサービスによって割り当てられたdmabufに書き込みますが、これは常にサイズ0x120000に見えます。libsapedextractorによって抽出される最大blocksperframe値も0x120000に制限されていますが、saped_recは、入力のサンプルあたりのバイト数が24の場合、最大3 * blocksperframeバイトまで書き込むことができます。これは、blocksperframeサイズが大きいAPEファイルがこのバッファを大幅にオーバーフローさせる可能性があることを意味します」とSilvanovichはバグレポートに記載しました。

「Google MessagesがRCS用に設定されている場合（このデバイスのデフォルト設定）、これはSamsung S24における完全リモート（0クリック）バグであることに注意してください。なぜなら、転写サービスがユーザーがメッセージに対して転写目的で操作する前に受信音声をデコードするからです。」

仮想的な攻撃シナリオでは、攻撃者は特別に作成された音声メッセージをRCS対応デバイスに送信することによって脆弱性を悪用し、デバイスのメディアコーデックプロセス（「samsung.software.media.c2」）をクラッシュさせ、さらなる悪用の道を開くことができます。

上記の脆弱性に加えて、Samsungの2024年12月の更新では、もう1つの脆弱性も修正されました：CVE-2024-49413（CVSSスコア：7.1）、SmartSwitchアプリに関連するものです。この脆弱性は、十分な暗号署名検証を悪用することによって、ローカル攻撃者が悪意のあるアプリケーションをインストールできる可能性がありました。

Samsungは脆弱性を修正しましたが、ユーザーは最新のセキュリティ更新でRCS対応デバイスを更新することを推奨します。さらに、ゼロクリックの悪用のリスクをさらに減らすために、Google MessagesでRCSを無効にすることをお勧めします。