Дослідники в галузі кібербезпеки виявили та усунули вразливість у декодері Monkey’s Audio (APE) на смартфонах Samsung, яка давала змогу зловмисникам віддалено виконувати довільний код за допомогою надсилання голосових повідомлень. Уразливість, позначена як CVE-2024-49415 (бал CVSS: 8.1), зачіпала пристрої Samsung під управлінням Android 12, 13 і 14.
Що ще відомо
За словами Samsung, уразливість давала змогу здійснювати запис за межі виділеної пам’яті в бібліотеці libsaped.so, що вело до виконання шкідливого коду. Виправлення, випущене в грудні 2024 року в рамках щомісячних оновлень безпеки, полягало в додаванні належної перевірки вхідних даних.
Дослідниця Google Project Zero, Наталі Сілвановіч, яка виявила вразливість, зазначила, що її можна було активувати без будь-якої взаємодії користувача. Експлойт працював за умови використання сервісу обміну повідомленнями Google Messages з увімкненою підтримкою RCS, що є налаштуванням за замовчуванням на телефонах Galaxy S23 і S24. Тобто сервіс транскрипції декодував вхідні аудіоповідомлення локально ще до взаємодії користувача, що і створювало загрозу.
“Зловмисник міг надіслати спеціально створене аудіоповідомлення через Google Messages, спричиняючи збій процесу кодування медіаданих (“samsung.software.media.c2″)”, – пише THN.
У грудні 2024 року Samsung також виправила ще одну серйозну вразливість у SmartSwitch (CVE-2024-49413, бал CVSS: 7.1), яка давала змогу локальним зловмисникам встановлювати шкідливі програми через неналежну перевірку криптографічного підпису. Користувачам Samsung настійно рекомендується встановити останні оновлення безпеки.
