Nagyon durva biztonsági hibát találtak a Samsung Galaxy telefonokban

A Google Project Zero kutatói a napokban számoltak be arról, hogy sikerült egy rendkívül súlyos sebezhetőséget azonosítaniuk a Samsung Galaxy telefonjaiban. A sérülékenység kihasználásával hackerek tetszőleges programkódot futtathatnak a készülékeken anélkül, hogy ehhez a felhasználónak bármit is kellene tennie. Erre azért van lehetőségük, mert a hiba a szóban forgó telefonok egyik alapszoftverében: a Monkey's Audio (APE) dekóderben található. Ez utóbbit a Samsung Galaxy-k számos célra használják - többek között a beérkezett multimédiás üzenetek tartalmának elemzésére is. Ez utóbbi az, ami lehetőséget ad a hackerek számára a gyors és hatékony támadásra. A támadóknak ugyanis mindössze csak egy speciálisan összeállított RCS vagy MMS üzenetet kell küldeniük az áldozatul kiszemelt felhasználó telefonjára, ahol az megérkezésekor egy puffertúlcsordulási hibát vált ki a szóban forgó könyvtárban, ezzel pedig tetszőleges programkód futtatására kap lehetőséget. A hiba az összes Samsung Galaxy telefont érinti, ami az Android 12, 13 és 14-es verzióját futtatja - de más eszközök érintettsége sem zárható ki. A jó hír, hogy a Project Zero már korábban értesítette a Samsungot a veszélyes hibáról, így a gyártó a decemberben telefonjaihoz kiadott biztonsági frissítésben lezárta azt. Ugyanakkor azon készülékek, amik már nem frissülnek vagy amiken letiltották a frissítések telepítését valamilyen okból, értelemszerűen továbbra is sebezhetők lehetnek. A Samsung decemberi foltcsomagja egy másik veszélyes hibát is javít egyébként, ami a cég Smart Switch alkalmazásában található meg. Ez szintén tetszőleges programkód a gépre csempészésére ad lehetőséget, de csak helyileg és a felhasználó közreműködésével használható ki, így valamivel körülményesebb rajta keresztül támadni.