Peneliti keamanan siber telah merinci kelemahan keamanan yang kini telah ditambal yang berdampak pada dekoder Monkey's Audio (APE) pada ponsel pintar Samsung yang dapat menyebabkan eksekusi kode.
Kerentanan dengan tingkat keparahan tinggi, dilacak sebagai CVE-2024-49415 (skor CVSS: 8.1), memengaruhi perangkat Samsung yang menjalankan Android versi 12, 13, dan 14.
“Penulisan di luar batas di libsaped.so sebelum SMR Des-2024 Rilis 1 memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer,” kata Samsung dalam peringatan atas kelemahan yang dirilis pada Desember 2024 sebagai bagian dari pembaruan keamanan bulanannya. “Patch ini menambahkan validasi input yang tepat.”
Peneliti Google Project Zero Natalie Silvanovich, yang menemukan dan melaporkan kelemahan tersebut, menggambarkannya sebagai tidak memerlukan interaksi pengguna untuk memicunya (yaitu, zero-click) dan “permukaan serangan baru yang menyenangkan” dalam kondisi tertentu.
Khususnya, ini berfungsi jika Google Messages dikonfigurasi untuk layanan komunikasi kaya (RCS), konfigurasi default pada ponsel Galaxy S23 dan S24, karena layanan transkripsi secara lokal mendekode audio yang masuk sebelum pengguna berinteraksi dengan pesan untuk tujuan transkripsi.
“Fungsi saped_rec di libsaped.so menulis ke dmabuf yang dialokasikan oleh layanan media C2, yang tampaknya selalu berukuran 0x120000,” jelas Silvanovich.
“Sementara nilai blokperframe maksimum yang diekstraksi oleh libsapedextractor juga dibatasi hingga 0x120000, saped_rec dapat menulis hingga 3 * blokperframe byte keluar, jika byte per sampel masukan adalah 24. Ini berarti bahwa file APE dengan ukuran blokperframe yang besar dapat secara substansial meluapkan buffer ini.”
Dalam skenario serangan hipotetis, penyerang dapat mengirim pesan audio yang dibuat khusus melalui Google Message ke perangkat target mana pun yang RCS-nya diaktifkan, sehingga menyebabkan proses codec media (“samsung.software.media.c2”) terhenti.
Patch Samsung bulan Desember 2024 juga mengatasi kerentanan tingkat tinggi lainnya di SmartSwitch (CVE-2024-49413, skor CVSS: 7.1) yang memungkinkan penyerang lokal menginstal aplikasi berbahaya dengan memanfaatkan verifikasi tanda tangan kriptografi yang tidak tepat.
