Samsung začal vydávat bezpečnostní patch pro tento měsíc, který opravuje devět kritických bezpečnostních chyb objevených v Androidu a devatenáct v jeho vlastním softwaru. Jedním z těchto vlastních exploitů byl kritický bug, který ohrožoval už od roku 2014 všechny smartphony řady Galaxy.
Tato tzv. zero-click vulnerabilita (tedy chyba nepotřebující k aktivaci uživatelskou interakci) se týkala toho, jak Samsung spravuje vlastní formát obrázků Qmage (.qmg). Tento formát podporují všechny jeho telefony Galaxy od konce roku 2014 a jeho implementace měla vážné bezpečnostní chyby. Údajně jej používají soubory služby Samsung Themes.
Na vině byla grafická knihovna
Exploit objevil bezpečnostní výzkumník Mateusz Jurczyk, který spolupracuje s týmem Googlu Project Zero, majícím za úkol vyhledávat chyby v zabezpečení (především zmíněné zero-click zranitelnosti). Našel způsob, jak využít to, jak androidová grafická knihovna Skia ve smartphonech Samsungu spravuje obrázky Qmage odesílané na telefon.
Systém Android je navržen tak, aby přesměrovával všechny obrázky přijaté zařízením do zmíněné knihovny, která je posléze zpracuje za účelem vytvoření náhledů. To vše se děje bez interakce nebo vědomí uživatele. Jurczyk poslal na telefony Samsungu opakované MMS zprávy, aby se pokusil uhádnout pozici knihovny v jejich paměti.
Znalost polohy knihovny je totiž nezbytným krokem k obejití ochrany Androidu ASLR (Address Space Layout Randomization). Jakmile je pozice knihovny známa, na telefon je odeslána poslední MMS zpráva obsahující soubor Qmage, který poté v zařízení spustí útočníkův kód.
Útočníkovi stačí dvě hodiny
Podle všeho je ke zneužití chyby zapotřebí odeslat 50–300 zpráv, čehož lze dosáhnout do dvou hodin a bez vědomí uživatele. K exploataci bugu je možné použít i další aplikace telefonu, které mohou přijímat formát .qmg.
Květnový bezpečnostní update již obdržely smartphony řady Galaxy S20, Galaxy S10, Galaxy Note 10 a telefony Galaxy A50, Galaxy Fold a Galaxy Z Flip.
Martin Duchoslav
Další dnešní články
