Nel mese di settembre 2024, un gruppo di ricercatori di Google Project Zero ha rivelato una vulnerabilità critica nel decoder di Monkey’s Audio (APE) utilizzato nei dispositivi Samsung Galaxy S23 e S24. Questa vulnerabilità, identificata come CVE-2024-49415, poteva essere sfruttata per eseguire codice arbitrario su dispositivi Android versioni 12, 13 e 14. In questo articolo, esploreremo la natura di questa vulnerabilità, le sue conseguenze e come Samsung ha risolto il problema.
La Vulnerabilità Zero-Click
Una vulnerabilità zero-click è un tipo di vulnerabilità che può essere sfruttata senza alcuna interazione dell’utente. In questo caso, la vulnerabilità si verificava nel libsaped.so library, che gestisce il decoder APE. La funzione saped_rec in questo library scriveva dati in un buffer DMA allocato dal servizio media C2. Tuttavia, il buffer aveva una dimensione fisso di 0x120000, mentre la funzione poteva scrivere fino a tre volte questa dimensione sotto certe condizioni, come ad esempio quando si trattava di file APE con un grande blocksperframe[1][2].
Come Funziona l’Attacco
Un attaccante potrebbe inviare un messaggio audio specificamente elaborato tramite Google Messages a un dispositivo Samsung con RCS abilitato. Il processo di media (samsung.software.media.c2) avrebbe decodificato localmente l’audio prima che l’utente interagisse con il messaggio, causando il crash del processo media. Questo tipo di attacco non richiede alcuna interazione dell’utente, rendendolo particolarmente pericoloso[1][2].
Rischi e Conseguenze
La vulnerabilità poteva portare a esecuzione di codice arbitrario, che potrebbe essere sfruttato per installare malware o ottenere accesso non autorizzato alle informazioni sensibili. La sua natura zero-click la rende particolarmente pericolosa, poiché non richiede alcuna azione da parte dell’utente per essere sfruttata. Questo tipo di attacco rappresenta una seria minaccia per la sicurezza dei dispositivi personali e professionali, poiché può essere utilizzato per installare spyware e altri malware senza che l’utente ne sia a conoscenza[3].
Risoluzione della Vulnerabilità
Samsung ha risolto la vulnerabilità nel corso del suo aggiornamento di sicurezza del mese di dicembre 2024. L’aggiornamento ha incluso patch per diverse vulnerabilità, tra cui la CVE-2024-49415. La patch aggiungeva la validazione dell’input per prevenire l’overwriting dei buffer e mitigare il rischio di esecuzione di codice arbitrario[1][2].
Suggerimenti e Consigli
Per proteggersi da vulnerabilità simili:
- Disabilitare RCS: Se non è necessario utilizzare i servizi di RCS, disabilitarlo per ridurre la superficie di attacco.
- Evitare file audio non verificati: Non aprire o riprodurre file audio non verificati tramite app di messaggistica o browser di file.
- Aggiornare regolarmente: Assicurarsi di aggiornare i dispositivi con le patch di sicurezza più recenti.
- Monitorare le notifiche di sicurezza: Tenere d’occhio le notifiche di sicurezza e seguire le istruzioni per aggiornare i dispositivi.
La vulnerabilità zero-click identificata su dispositivi Samsung Galaxy S23 e S24 rappresenta una minaccia critica per la sicurezza dei dispositivi. La risoluzione di questa vulnerabilità da parte di Samsung è un passo importante per proteggere gli utenti dai rischi associati. Tuttavia, è fondamentale rimanere vigili e seguire i suggerimenti per prevenire future vulnerabilità. La sicurezza dei dispositivi è un processo continuo che richiede attenzione e azioni proattive per proteggere le informazioni sensibili e garantire la stabilità dei dispositivi.
Fonte: https://cybersecuritynews.com/samsung-0-click-vulnerability-fixed
