Telefones Samsung dos últimos 6 anos têm uma falha que deu acesso a hackers – 09/05/2020

Telefones Samsung dos últimos 6 anos têm uma falha que deu acesso a hackers - 09/05/2020

Se você possui um smartphone Samsung com até seis anos de idade, seja inteligente. O fabricante envia atualizações de segurança desde a semana passada para um problema descoberto em janeiro, mas só foi anunciado nesta semana.

A falha afeta todos os telefones Galaxy fabricados desde 2014 e permite que um hacker controle o dispositivo remotamente.

A falha mais séria é que é do tipo “cliques zero”, ou seja, o usuário não precisa fazer nada de diferente ou incorreto ao usar o dispositivo para ser vítima.

A vulnerabilidade existe apenas em telefones Samsung. O fabricante sul-coreano pega o sistema Android puro do Google e faz seu próprio design e adaptações de recursos. Outros fabricantes, como LG, Sony e Asus, também realizam esse processo, mas a violação de segurança decorreu de uma mudança da Samsung para uma parte específica do sistema.

Em termos técnicos, é uma execução de código remoto arbitrário (RCE) que atinge a biblioteca de imagens do telefone celular. A falha tem a ver com a maneira como os telefones Samsung lidam com o formato de imagem Qmage (.qmg), criado para formar miniaturas que representam o maior arquivo de imagem – as “visualizações em miniatura”.

Aplicativo Samsung Gallery

Imagem: Reprodução

Imagens com extensões diferentes, como .jpg, .gif e .bmp, são processadas por dispositivos Samsung usando a biblioteca de gráficos Android padrão, Skia, para gerar as miniaturas. Quando você faz isso com imagens com a extensão .qmg, é nesse processo que a falha está localizada.

Para ser explorado, um invasor precisa bombardear o telefone celular com mensagens de 50 a 300 MMS (acrônimo em inglês para mensagens multimídia) que aceitam conteúdo diferente de texto, como fotos e vídeos.

O objetivo das mensagens é ativar códigos capazes de descobrir onde a biblioteca Skia está localizada na memória do dispositivo. O pesquisador que entrou no problema, Mateusz Jurczyk, do Google Project Zero (a equipe da empresa que caça erros), fez um vídeo de demonstração.

Ao longo do vídeo, lembre-se de que o contador no aplicativo de mensagens MMS aumenta a numeração: são as mensagens massivas que chegam e tentam explorar a falha, em um processo de tentativa e erro.

Todo o processo deve levar cerca de 100 minutos. No final, quando finalmente falha, mostra que você abre o aplicativo da calculadora em seu telefone remotamente. Para que funcione, a vítima deve estar na tela inicial do Android, sem usar nenhum aplicativo.

A Samsung foi avisada do erro e enviou a solução de segurança para seus telefones alguns dias atrás. Mas como o Android é um sistema fragmentado, esta solução favorece os telefones mais novos. Segundo o site da Gizmochina, os modelos já teriam atingido:

  • Galaxy S20
  • Galaxy Z Flip
  • Galaxy Fold
  • Galaxy Note 10
  • Galaxy S10
  • Galaxy A50

O mais antigo, com mais de um ano para ser lançado, ainda não deveria ter sido considerado.

O bug é nomeado SVE-2020-16747 no boletim de segurança Samsung e CVE-2020-8899 no banco de dados. Mitre CVE, que cataloga vulnerabilidades.

Procurado por Inclinação, A Samsung ainda não comentou.

Esse tipo de falha de “clique zero” também afeta os telefones da Apple: a mesma equipe do Project Zero encontrou uma assim em 28 de abril, que atingiu a estrutura de quadro de E / S da imagem e afetou os iPhones. , iPads, Macs e Apple Relógios.

You May Also Like

About the Author: Adriana Costa Esteves

"Estudioso incurável da TV. Solucionador profissional de problemas. Desbravador de bacon. Não foi possível digitar com luvas de boxe."

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *