谷歌零項目的研究人員周五披露了一個現已修補的零點擊漏洞,該漏洞可能允許遠程攻擊者在沒有任何用戶交互的情況下在三星設備上執行任意代碼。
該漏洞被追踪為CVE-2024-49415(CVSS 得分:8.1)是 libsaped.so 庫的 saped_rec 函數中的越界寫入問題,libsaped.so 庫是負責音頻播放的 C2 媒體服務庫。它影響了運行 Android 版本 12、13 和 14 的三星旗艦 Galaxy S23 和 S24 設備中使用的 Monkey's Audio (APE) 解碼器。
“SMR Dec-2024 Release 1 之前的 libsaped.so 中的越界寫入允許遠程攻擊者執行任意代碼。該補丁添加了適當的輸入驗證,”閱讀諮詢意見作為三星每月安全更新的一部分,該漏洞於 2024 年 12 月發布。
如何進行攻擊?
谷歌零項目研究員 Natalie Silvanovich 於 2024 年 9 月 21 日識別並向三星報告了該漏洞,她表示,該攻擊可以通過發送不需要任何用戶參與(零點擊)的惡意音頻文件來實施,因此具有潛在危險。
該缺陷是由於三星對 RCS(豐富通信服務)消息的處理造成的,特別是通過 Android 中的 Google Messages 應用程序解析和處理傳入音頻消息的方式。 Galaxy S23 和 S24 型號上默認啟用此設置。
“libsaped.so 中的函數 saped_rec 寫入由 C2 媒體服務分配的 dmabuf,其大小始終為 0x120000。雖然 libsapedextractor 提取的最大每幀塊值也限制為 0x120000,但如果輸入的每個樣本字節數為 24,則 saped_rec 最多可以寫入 3 * 塊每幀字節。這意味著具有較大大小的 APE 文件每幀的塊大小可能會嚴重溢出該緩衝區。” Silvanovich寫了在她的錯誤報告中。
“請注意,如果 Google Messages 配置為 RCS(該設備上的默認配置),則這是三星 S24 上的一個完全遠程(0 點擊)錯誤,因為轉錄服務會在用戶與消息交互以進行轉錄目的之前對傳入的音頻進行解碼。”
在假設的攻擊場景中,攻擊者可以通過在啟用 RCS 的設備上發送特製音頻消息來利用此漏洞,導致設備的媒體編解碼器進程(“samsung.software.media.c2”)崩潰並為進一步利用開闢道路。
除了上述缺陷之外,三星的2024年12月更新還修復了另一個漏洞:CVE-2024-49413(CVSS 分數:7.1),涉及 SmartSwitch 應用程序。該缺陷允許本地攻擊者利用加密簽名驗證不足的漏洞來安裝惡意應用程序。
雖然三星已經修復了這些缺陷,但建議用戶使用最新的安全更新來更新其支持 RCS 的設備。此外,建議禁用 Google Messages 中的 RCS,以進一步降低零點擊攻擊的風險。
