Исследователи в области кибербезопасности выявили и устранили уязвимость в декодере Monkey’s Audio (APE) на смартфонах Samsung, которая позволяла злоумышленникам удаленно исполнять произвольный код через отправку голосовых сообщений. Данная уязвимость, известная как CVE-2024-49415 (балл CVSS: 8.1), затрагивала устройства Samsung с операционными системами Android 12, 13 и 14. Об этом информирует издание The Hacker News (THN).
По данным Samsung, уязвимость заключалась в возможности записи за пределы выделенной памяти в библиотеке libsaped.so, что позволяло выполнять вредоносный код. Исправление было выпущено в декабре 2024 года в рамках ежемесячных обновлений безопасности, и заключалось в добавлении правильной проверки входящих данных.
Исследователь Google Project Zero, Натали Силванович, обнаружившая данную уязвимость, подчеркнула, что ее можно было активировать без какого-либо участия пользователя. Эксплойт срабатывал при использовании сервиса обмена сообщениями Google Messages с включенной поддержкой RCS, что является настройкой по умолчанию для телефонов Galaxy S23 и S24. Это связано с тем, что сервис транскрипции автоматически декодировал входящие аудиосообщения до взаимодействия с пользователем, что и создавало угрозу.
Как сообщает THN, «злоумышленник мог отправить специально подготовленное аудиосообщение через Google Messages, что приводило к сбою процесса кодирования медиаданных (“samsung.software.media.c2”)».
Как сообщалось ранее — Чем грозят России пророчества святых о нашей стране
