Samsung, corretta falla di sicurezza attiva su tutti gli smartphone dal 2014

Samsung, corretta falla di sicurezza attiva su tutti gli smartphone dal 2014

Un ricercatore di sicurezza di Project Zero (Google) ha scoperto una vulnerabilità critica su tutti i terminali Samsung, persistente dal 2014 fino ad oggi

di pubblicata il , alle 12:21 nel canale Telefonia
SamsungGalaxy
 

Con l'ultima tornata di aggiornamenti Samsung ha corretto una vulnerabilità critica "0-click" che ha coinvolto sino ad oggi tutti i suoi dispositivi rilasciati dal 2014. Il fix è adesso presente su tutti i modelli del produttore coreano aggiornati con le patch di maggio 2020. La falla era presente sulla personalizzazione di Android proprietaria di Samsung, e nello specifico nella gestione del formato d'immagine Qmage supportato a partire dalla fine del 2014.

Il bug può essere sfruttato senza alcuna interazione da parte dell'utente e con un approccio, come detto in apertura, 0-click. Scoperta dal ricercatore di sicurezza Mateusz Jurczyk del team di Project Zero di Google, la falla è stata dimostrata attraverso una versione proof-of-concept che prende di mira l'applicazione Messaggi predefinita nei terminali del colosso coreano. Nella demo il ricercatore ha inviato ripetuti MMS a un dispositivo target (Samsung Galaxy Note 10+) sfruttando il bug.

Ogni messaggio inviato è stato progettato ad-hoc per aggirare la protezione ASLR di Android, cercando di indovinare la posizione della libreria Skia nella memoria del dispositivo. Per quanto critico, l'exploit di Jurczyk non passa inosservato: l'aggressore deve infatti inviare ad 50 a 300 messaggi in circa 100 minuti per aggirare la protezione ASLR e, una volta riuscito nell'intento, potrà inviare l'MMS finale con il payload Qmage che esegue l'attacco sul dispositivo.

Jurczyk, però, è stato in grado di trovare un modo per inviare i messaggi MMS necessari senza attivare il suono di notifica sul dispositivo Samsung, quindi afferma che sono possibili attacchi potenzialmente invisibili sfruttando il bug. Samsung ha già distribuito la patch di sicurezza di maggio 2020 per i suoi principali modelli di punta, ma non è chiaro se l'azienda implementerà la patch di sicurezza per gli smartphone giunti alla fine loro supporto software, come i vecchi flagship Galaxy S5, Galaxy S6, o altri modelli che potrebbero mantenere la vulnerabilità per sempre.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Jammed_Death07 Maggio 2020, 16:22 #1
sono andato a frugare per vedere e ho scoperto che hanno appena rilasciato android 10 per il mio j6...non male per uno smartphone preso 2 anni fa a 40 euro con la promo wind
ErLucios08 Maggio 2020, 11:37 #2
evviva il mio galaxy s2 ne è esente!
allmaster08 Maggio 2020, 14:19 #3
il mio è fermo ad aprile 2018
suppongo che resterò col bug tanto gli MMS li ho disattivati da sempre

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^