Pesquisador do Google Project Zero Descobre Exploração em Dispositivos Samsung

Pesquisadores do Google Project Zero divulgaram na sexta-feira uma vulnerabilidade de zero-click agora corrigida que poderia permitir que atacantes remotos executassem código arbitrário em dispositivos Samsung sem qualquer interação do usuário.

A vulnerabilidade rastreada como CVE-2024-49415 (pontuação CVSS: 8.1) é um problema de gravação fora dos limites na função saped_rec da biblioteca libsaped.so, uma biblioteca do serviço de mídia C2 responsável pela reprodução de áudio. Ela afetou o decodificador Monkey’s Audio (APE) usado nos dispositivos topo de linha Galaxy S23 e S24 da Samsung que executam as versões do Android 12, 13 e 14.

“Gravação fora dos limites em libsaped.so antes da Liberação 1 do SMR de dezembro de 2024 permite que atacantes remotos executem código arbitrário. O patch adiciona validação de entrada adequada”, dizia o aviso sobre a falha divulgado em dezembro de 2024 como parte das atualizações mensais de segurança da Samsung.

Como o ataque poderia ser realizado?

Natalie Silvanovich, uma pesquisadora do Google Project Zero que identificou e relatou a vulnerabilidade à Samsung em 21 de setembro de 2024, disse que o ataque poderia ser realizado enviando um arquivo de áudio malicioso que não requer qualquer envolvimento do usuário (zero-click), tornando-o potencialmente perigoso.

A falha ocorreu devido ao manuseio de mensagens RCS (serviços de comunicação ricos) pela Samsung, especificamente na forma como as mensagens de áudio recebidas são analisadas e processadas através do aplicativo Google Messages no Android. Essa configuração está habilitada por padrão nos modelos Galaxy S23 e S24.

“A função saped_rec em libsaped.so grava em um dmabuf alocado pelo serviço de mídia C2, que sempre parece ter tamanho 0x120000. Enquanto o valor máximo de blocksperframe extraído pelo libsapedextractor também é limitado a 0x120000, saped_rec pode gravar até 3 * blocksperframe bytes, se os bytes por amostra da entrada forem 24. Isso significa que um arquivo APE com um tamanho grande de blocksperframe pode transbordar substancialmente esse buffer”, escreveu Silvanovich em seu relatório de bug.

“Note que este é um bug totalmente remoto (0-click) no Samsung S24 se o Google Messages estiver configurado para RCS (a configuração padrão neste dispositivo), já que o serviço de transcrição decodifica o áudio recebido antes que um usuário interaja com a mensagem para fins de transcrição.”

Em um cenário hipotético de ataque, um atacante pode explorar a vulnerabilidade enviando uma mensagem de áudio especialmente elaborada em dispositivos habilitados para RCS, fazendo com que o processo de codec de mídia do dispositivo (“samsung.software.media.c2”) falhe e abra um caminho para uma exploração adicional.

Além da falha mencionada, a atualização de dezembro de 2024 da Samsung também corrigiu outra vulnerabilidade: CVE-2024-49413 (pontuação CVSS: 7.1), envolvendo o aplicativo SmartSwitch. Essa falha permitia que atacantes locais instalassem aplicativos maliciosos explorando a verificação insuficiente de assinatura criptográfica.

Embora a Samsung tenha corrigido as falhas, é recomendado que os usuários atualizem seus dispositivos habilitados para RCS com as últimas atualizações de segurança. Além disso, é aconselhável desativar o RCS no Google Messages para reduzir ainda mais o risco de explorações de zero-click.