研究人员发现,三星手机含有重大远程程序代码执行(RCE)漏洞,三星上周发布安全更新,呼吁用户尽快安装。
这项漏洞是由Google抓虫小组Project Zero研究人员Mateusz Jurczyk发现。他发现三星手机中由第三方厂商Quramsoft开发的Qmage格式的codec中,存在内存复写(memory overwrite)漏洞,可让黑客由外部发送包含图片的消息,造成内存毁损,并取得App执行权限,或远程执行恶意程序代码。
而该漏洞之所以让三星Android手机暴露在风险中,是因为Android将所有图片都悄悄传到Skia函数库处理,像是产生预览图标。研究人员相信这个特性,加上Qmage的漏洞,形成Android上无需交互(即零点击)的远程攻击面。
根据Jurczyk测试,Samsung Messages App可以在不用任何用户点击动作下,处理外面传入的MMS消息,这让黑客有机会开采这项漏洞,成功读取手机通话记录、联系人、存储、短信等。理论上,受害者只要手机预览通知消息,就会攻击。
从2014年(Android 4.4.4)的Galaxy 8、到今年推出的(Android 10.0)Galaxy Note 10+的三星智能手机,都受到这个漏洞影响。该漏洞被列为重大风险,所幸根据研究人员以MMS消息进行测试,攻击者必须发送50到300则消息,平均约花上100分钟,才能完成攻击。
在一月接获Google通知后,三星已在日前发布更新程序,完成包含本漏洞及其他8个重大风险,及20多个重要风险漏洞的修补,也呼吁用户更新软件。
Google Project Zero也在本月初公布iOS存在类似的零点击攻击漏洞。在Google通知下,苹果已提早完成修补。