Samsung risolve una vulnerabilità 0-click presente in tutti gli smartphone dal 2014

Questa settimana Samsung ha provveduto a rilasciare un aggiornamento di sicurezza che risolve una grave vulnerabilità presente in tutti gli smartphone dell’azienda immessi sul mercato dal 2014.

Uno dei ricercatori del team Google Project Zero ha infatti scoperto che un aggressore può eseguire codice dannoso sui dispositivi degli utenti sfruttando una caratteristica che Samsung ha aggiunto anni fa.
Mateusz Jurczyk ha scoperto che inviando un’immagine nel formato custom .qmg (Qmage) è possibile causare il caricamento e l’esecuzione di codice arbitrario sui dispositivi Samsung altrui senza che la vittima debba operare alcun clic.
Questo avviene perché la libreria chiamata a gestire anche il formato d’immagine Qmage (Skia) tenta di creare le miniature del contenuto di qualsiasi file in automatico, senza chiedere alcuna conferma da parte degli utenti.

Nella sua dimostrazione Jurczyk ha inviato ripetutamente degli MMS sul dispositivo Samsung della vittima con l’intento di stabilire la posizione della libreria Skia all’interno della memoria dello smartphone (procedura essenziale per superare la protezione ASLR – Address Space Layout Randomization – di Android).
Una volta accertata la posizione della libreria per la gestione dei file grafici, un ultimo MMS viene utilizzato per inviare il file malevolo in formato Qmage (contenente il codice da eseguire sullo smartphone altrui).

L’attacco si concretizza entro 100 minuti, il tempo necessario per inviare e gestire tra 50 e 300 messaggi MMS.
Inoltre, è vero che l’attacco immediatamente destare qualche sospetto nell’utente che si vede arrivare tanti messaggi in un breve lasso di tempo ma Jurczyk precisa che il suo è solamente un proof-of-concept: ci sono infatti diverse tattiche per rendere l’aggressione molto meno “rumorosa” e palese. Nell’esempio, il ricercatore – una volta assunto il controllo del dispositivo – si è limitato a disporre l’avvio dell’app calcolatrice.

Il bug, contraddistinto da Samsung con l’identificativo SVE-2020-16747 e classificato nel database Mitre come CVE-2020-8899, è stato risolto dagli sviluppatori dell’azienda sudcoreana nel corso di questa settimana: il consiglio è quindi quello di applicare prima possibile gli aggiornamenti di maggio 2020. A questo indirizzo Samsung indica che gli aggiornamenti sono al momento in corso di distribuzione sui modelli di punta dell’azienda. Resta da vedere se l’azienda aggiornerà in tempi brevi anche i modelli di fascia inferiore o comunque gli ex top di gamma.

Altri produttori di smartphone non sembrano essere interessati dallo stesso problema: soltanto Samsung pare aver modificato il funzionamento di Android per supportare il formato Qmage.