Mateusz Jurczyk, pracownik Google, odkrył błąd znajdujący się w oprogramowaniu praktycznie każdego współczesnego smartfona firmy Samsung. Jest on na tyle problematyczny, że wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika. Do przejęcia kontroli nad urządzeniem wystarczy odpowiednio spreparowany MMS.
Głównym problemem smartfonów z Androidem jest to, że są one podatne na wiele zdalnych ataków. Oczywiście każde zaawansowane oprogramowanie zawiera tego typu błędy. Dlatego też niezwykle ważne jest to, żeby było ono aktualizowane. Niestety po raz kolejny przekonujemy się, że korzystanie ze starych (tj. niewspieranych przez producentów) smartfonów na Androidzie może być faktycznie niebezpieczne. Problem ten w przypadku iPhone’ów jest praktycznie niezauważalny, ponieważ Apple aktualizuje swoje urządzenia przez około 5 lat po dacie ich premiery. Jednak klienci Samsunga i innych producentów smartfonem z Androidem nie mają tej dogodności.
Spreparowany MMS może przejąć kontrolę nad praktycznie każdym smartfonem Samsunga
Mateusz Jurczyk (nick j00ru) w ramach pracy w Google Project Zero odkrył poważny błąd oprogramowaniu odpowiedzialnym za obsługę MMS-ów w smartfonach Samsunga. Okazuje się, że odpowiednio spreparowana wiadomość może nadpisać pamięć w bibliotece Quram qmg, która obsługuje obrazy w formacie Qmage. Zabieg ten pozwala na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad smartfonem (np. poprzez instalację złośliwego oprogramowania).
Luka została oznaczona jako CVE-2020-8899. Z kolei w dokumentacji Samsunga widnieje ona pod oznaczeniem SVE-2020-16747. Odkrycie pochodzi ze stycznia tego roku, a w dniu upublicznienia informacji była już załatana. Problem tylko w tym, że odpowiednia łatka znajduje się w najnowszym, tj. majowym, biuletynie bezpieczeństwa. Niestety mało kto ma go zainstalowanego.
Które smartfony Samsunga są już bezpieczne?
Aktualnie Samsung wypuszcza comiesięczne aktualizacje bezpieczeństwa dla następujących modeli:
- Galaxy Fold, Galaxy Z Flip
- Galaxy S8 Active, Galaxy S9, Galaxy S9+, Galaxy S10, Galaxy S10+, Galaxy S10e, Galaxy S10 5G, Galaxy S10 Lite, Galaxy S20, Galaxy S20 5G, Galaxy S20+, Galaxy S20+ 5G, Galaxy S20 Ultra, Galaxy S20 Ultra 5G
- Galaxy Note8, Galaxy Note9, Galaxy Note10, Galaxy Note10 5G, Galaxy Note10+, Galaxy Note10+ 5G, Galaxy Note10 Lite
- Galaxy A8 (2018), Galaxy A50, Galaxy XCover4s, Galaxy XCover FieldPro, Galaxy XCover Pro
Na powyższej liście znajdziecie głównie najnowsze modele. Posiadacze starszych urządzeń (np. Galaxy S8) objęci są kwartalnymi aktualizacjami bezpieczeństwa. Są też takie modele (jak np. Galaxy A3 2017), które są jeszcze wspierane, ale Samsung wypuszcza na nie aktualizacje nieregularnie.
W najgorszej sytuacji znajdują się posiadacze naprawdę starych urządzeń, które nie są już aktualizowane. Odkryty błąd znajdował się już w koreańskich smartfonach z Androidem w wersji 4.4.4 z 2014 roku. Mateusz Jurczyk potwierdził występowanie luki na następujących modelach:
- Galaxy Note 4 (Android 4.4.4, Sep 2014)
- Galaxy Note Edge (Android 4.4.4, Nov 2014 – Dec 2014)
- Galaxy Note Edge (Android 5.0.1, Mar 2015 – Jun 2015)
- Galaxy Core Prime (Android 5.1.1, Aug 2015)
- Galaxy Note 5 (Android 5.1.1, Aug 2015)
- Galaxy Note 4 (Android 5.1.1, Oct 2015)
- Galaxy Note 3 (Android 5.0, Jan 2016)
- Galaxy S7 (Android 6.0.1, Feb 2016)
- Galaxy Note 5 (Android 6.0.1, Feb 2016)
- Galaxy S7 (Android 7, Jan 2017)
- Galaxy Note 5 (Android 7, Mar 2017)
- Galaxy S8 (Android 7, Apr 2017)
- Galaxy S8 (Android 8, Feb 2018)
- Galaxy S7 (Android 8, Apr 2018)
- Galaxy S9 (Android 8, Apr 2018)
- Galaxy S8 (Android 9, Feb 2019)
- Galaxy S9 (Android 9, Apr 2019)
- Galaxy A50 (Android 9, Oct 2019)
- Galaxy Note 10+ (Android 9, Nov 2019 – Dec 2019)
- Galaxy Note 10+ (Android 10, Jan 2020)
Dlatego też w przypadku niezaktualizowanych urządzeń warto rozważyć wyłączenie MMS-ów. Zwłaszcza że jest to dość częsty wektor ataków wykorzystujących różnego rodzaju luki.
Źródło: Google Project Zero, Samsung
