Kibertəhlükəsizlik tədqiqatçıları Samsung smartfonlarında Monkey's Audio (APE) dekoderində təcavüzkarlara səsli mesajlar göndərməklə uzaqdan ixtiyari kodu icra etməyə imkan verə biləcək zəifliyi aşkar edib və aradan qaldırıblar. CVE-2024-49415 (CVSS balı: 8.1) kimi təyin edilmiş boşluq Android 12, 13 və 14 əməliyyat sistemləri ilə işləyən Samsung cihazlarına təsir edib. Bu barədə The Hacker News (THN) məlumat yayıb.

“Samsung”un fikrincə, boşluq libsaped.so kitabxanasında ayrılmış yaddaşın hüdudlarından kənarda yazmağa imkan verib ki, bu da zərərli kodun icrasına gətirib çıxarıb. Aylıq təhlükəsizlik yeniləmələrinin bir hissəsi kimi 2024-cü ilin dekabrında buraxılan düzəliş, daxil olan məlumatların düzgün təsdiqini əlavə etmək idi.

Boşluğu aşkar edən Google Project Zero tədqiqatçısı Natalie Silvanowicz qeyd edib ki, bu, heç bir istifadəçi əlaqəsi olmadan aktivləşdirilə bilər. İstismar, Galaxy S23 və S24 telefonlarında standart parametr olan RCS dəstəyi ilə Google Mesajlar mesajlaşma xidmətindən istifadə edərkən işlədi. Yəni, transkripsiya xidməti istifadəçinin qarşılıqlı əlaqəsindən əvvəl də daxil olan audio mesajları lokal olaraq deşifrə edib və bu təhlükə yaradıb.

“Təcavüzkar Google Mesajlar vasitəsilə xüsusi hazırlanmış audio mesaj göndərə bilər ki, bu da medianın kodlaşdırılması prosesinin (“samsung.software.media.c2”) uğursuzluğuna səbəb olur”, - THN yazır.

2024-cü ilin dekabrında Samsung, həmçinin SmartSwitch-də (CVE-2024-49413, CVSS hesabı: 7.1) daha bir ciddi zəifliyi aradan qaldırdı ki, bu da yerli təcavüzkarlara kriptoqrafik imzanın düzgün yoxlanması səbəbindən zərərli proqramlar quraşdırmağa imkan verdi. Samsung istifadəçilərinə ən son təhlükəsizlik yeniləmələrini quraşdırmaları tövsiyə olunur.