谷歌零项目的研究人员周五披露了一个现已修补的零点击漏洞,该漏洞可能允许远程攻击者在没有任何用户交互的情况下在三星设备上执行任意代码。
该漏洞被追踪为CVE-2024-49415(CVSS 得分:8.1)是 libsaped.so 库的 saped_rec 函数中的越界写入问题,libsaped.so 库是负责音频播放的 C2 媒体服务库。它影响了运行 Android 版本 12、13 和 14 的三星旗舰 Galaxy S23 和 S24 设备中使用的 Monkey's Audio (APE) 解码器。
“SMR Dec-2024 Release 1 之前的 libsaped.so 中的越界写入允许远程攻击者执行任意代码。该补丁添加了适当的输入验证,”阅读咨询意见作为三星每月安全更新的一部分,该漏洞于 2024 年 12 月发布。
如何进行攻击?
谷歌零项目研究员 Natalie Silvanovich 于 2024 年 9 月 21 日识别并向三星报告了该漏洞,她表示,该攻击可以通过发送不需要任何用户参与(零点击)的恶意音频文件来实施,因此具有潜在危险。
该缺陷是由于三星对 RCS(丰富通信服务)消息的处理造成的,特别是通过 Android 中的 Google Messages 应用程序解析和处理传入音频消息的方式。 Galaxy S23 和 S24 型号上默认启用此设置。
“libsaped.so 中的函数 saped_rec 写入由 C2 媒体服务分配的 dmabuf,其大小始终为 0x120000。虽然 libsapedextractor 提取的最大每帧块值也限制为 0x120000,但如果输入的每个样本字节数为 24,则 saped_rec 最多可以写入 3 * 块每帧字节。这意味着具有较大大小的 APE 文件每帧的块大小可能会严重溢出该缓冲区。” Silvanovich写了在她的错误报告中。
“请注意,如果 Google Messages 配置为 RCS(该设备上的默认配置),则这是三星 S24 上的一个完全远程(0 点击)错误,因为转录服务会在用户与消息交互以进行转录目的之前对传入的音频进行解码。”
在假设的攻击场景中,攻击者可以通过在启用 RCS 的设备上发送特制音频消息来利用此漏洞,导致设备的媒体编解码器进程(“samsung.software.media.c2”)崩溃并为进一步利用开辟道路。
除了上述缺陷之外,三星的2024年12月更新还修复了另一个漏洞:CVE-2024-49413(CVSS 分数:7.1),涉及 SmartSwitch 应用程序。该缺陷允许本地攻击者利用加密签名验证不足的漏洞来安装恶意应用程序。
虽然三星已经修复了这些缺陷,但建议用户使用最新的安全更新来更新其支持 RCS 的设备。此外,建议禁用 Google Messages 中的 RCS,以进一步降低零点击攻击的风险。
