Samsung, corrige falha de segurança ativa em todos os smartphones desde 2014

Com a Ășltima rodada de atualizaçÔes Samsung corrigiu uma vulnerabilidade crĂ­tica “0-click” que envolveu atĂ© agora todos os seus dispositivos lançados desde 2014. A correção agora presente em todos os modelos do fabricante coreano atualizados com o Patch de maio de 2020. A falha estava presente na personalização do Android proprietĂĄrio da Samsung e, especificamente, no gerenciamento do formato da imagem Qmage suportado desde o final de 2014.

O bug pode ser explorado sem nenhuma interação do usuårio e com uma abordagem, como dito no início, 0-clique. Descoberta pelo pesquisador de segurança Mateusz Jurczyk, da equipe do Google Project Zero, a falha foi demonstrada por meio de uma versão de prova de conceito que visa o aplicativo de mensagens padrão nos terminais da gigante coreana. Na demonstração, o pesquisador enviou mensagens MMS repetidas para um dispositivo de destino (Samsung Galaxy Note 10+) aproveitando o bug.

Cada mensagem enviada foi projetada ad hoc para burlar a proteção ASLR do Android, tentando adivinhar a localização da biblioteca Skia na memĂłria do dispositivo. Por mais crĂ­tica que seja, a façanha de Jurczyk nĂŁo passa despercebida: o atacante deve de fato envie de 50 a 300 mensagens em cerca de 100 minutos para contornar a proteção ASLR e, uma vez bem-sucedido, vocĂȘ pode enviar o MMS final com a carga Ăștil do Qmage que executa o ataque ao dispositivo.

-30%

Smartphone Samsung Galaxy A51, ecrã Super AMOLED de 6,5 “, 4 cñmaras traseiras, 128 GB expansível, 4 GB RAM, bateria de 4000 mAh, 4G, Dual Sim, Android 10, [Versione Italiana]Prism Crush Black

266.00 Comprar agora

Jurczyk, no entanto, não conseguiu encontrar uma maneira de envie as mensagens MMS necessårias sem ativar o som de notificação no dispositivo Samsung, afirma que ataques potencialmente invisíveis são possíveis explorando o bug. A Samsung jå lançou o patch de segurança de maio de 2020 para seus principais modelos, mas não estå claro se a empresa implementarå o patch de segurança para smartphones que chegaram ao fim do suporte de software, como o antigo Galaxy S5, Galaxy S6 ou outros modelos que podem manter a vulnerabilidade para sempre.