Исследователь Google Project Zero обнаруживает уязвимость в устройствах Samsung

Исследователи Google Project Zero в пятницу раскрыли теперь уже исправленную уязвимость нулевого клика, которая могла позволить удалённым злоумышленникам выполнять произвольный код на устройствах Samsung без какого-либо взаимодействия с пользователем.

Уязвимость, отслеживаемая как CVE-2024-49415 (оценка CVSS: 8.1), является проблемой записи за пределами границ в функции saped_rec библиотеки libsaped.so, библиотеки сервиса C2, ответственной за воспроизведение аудио. Она затронула декодер Monkey’s Audio (APE), используемый в флагманских устройствах Samsung Galaxy S23 и S24, работающих на версиях Android 12, 13 и 14.

“Запись за пределами границ в libsaped.so до выпуска SMR Dec-2024 Release 1 позволяет удалённым злоумышленникам выполнять произвольный код. Исправление добавляет правильную проверку входных данных,” говорится в уведомлении о недостатке, опубликованном в декабре 2024 года в рамках ежемесячных обновлений безопасности Samsung.

Как может быть выполнена атака?

Натали Силванович, исследователь Google Project Zero, которая выявила и сообщила о уязвимости Samsung 21 сентября 2024 года, заявила, что атаку можно осуществить, отправив вредоносный аудиофайл, который не требует участия пользователя (нулевой клик), что делает её потенциально опасной.

Недостаток возник из-за обработки Samsung сообщений RCS (услуги богатой связи), в частности, в том, как входящие аудиосообщения разбираются и обрабатываются через приложение Google Messages на Android. Эта настройка включена по умолчанию на моделях Galaxy S23 и S24.

“Функция saped_rec в libsaped.so записывает в dmabuf, выделенный сервисом C2, который всегда кажется имеющим размер 0x120000. Хотя максимальное значение blocksperframe, извлекаемое libsapedextractor, также ограничено 0x120000, saped_rec может записывать до 3 * blocksperframe байт, если байты на выборку входного файла составляют 24. Это означает, что APE файл с большим размером blocksperframe может существенно переполнить этот буфер,” написала Силванович в своём отчёте об ошибке.

“Обратите внимание, что это полностью удалённая (0-клик) ошибка на Samsung S24, если Google Messages настроен для RCS (конфигурация по умолчанию на этом устройстве), так как сервис транскрипции декодирует входящее аудио до того, как пользователь взаимодействует с сообщением для целей транскрипции.”

В гипотетическом сценарии атаки злоумышленник может использовать уязвимость, отправив специально подготовленное аудиосообщение на устройства с поддержкой RCS, что приведёт к сбою процесса медиа-кодека устройства (“samsung.software.media.c2”) и откроет путь для дальнейшей эксплуатации.

В дополнение к вышеупомянутой уязвимости, обновление Samsung за декабрь 2024 года также исправило другую уязвимость: CVE-2024-49413 (оценка CVSS: 7.1), связанную с приложением SmartSwitch. Эта уязвимость позволяла локальным злоумышленникам устанавливать вредоносные приложения, используя недостаточную проверку криптографической подписи.

Хотя Samsung исправил недостатки, рекомендуется, чтобы пользователи обновили свои устройства с поддержкой RCS до последних обновлений безопасности. Кроме того, рекомендуется отключить RCS в Google Messages, чтобы ещё больше снизить риск нулевых кликовых уязвимостей.