十轮网三星手机修补2014年起即存在的RCE漏洞研究人员发现

研究人员发现，三星手机含有重大远程程序代码执行（RCE）漏洞，三星上周发布安全更新，呼吁用户尽快安装。

文章图片
这项漏洞是由Google抓虫小组ProjectZero研究人员MateuszJurczyk发现。他发现三星手机中由第三方厂商Quramsoft开发的Qmage格式的codec中，存在内存复写（memoryoverwrite）漏洞，可让黑客由外部发送包含图片的消息，造成内存毁损，并取得App执行权限，或远程执行恶意程序代码。
而该漏洞之所以让三星Android手机暴露在风险中，是因为Android将所有图片都悄悄传到Skia函数库处理，像是产生预览图标。研究人员相信这个特性，加上Qmage的漏洞，形成Android上无需交互（即零点击）的远程攻击面。
【十轮网三星手机修补2014年起即存在的RCE漏洞】根据Jurczyk测试， SamsungMessagesApp可以在不用任何用户点击动作下，处理外面传入的MMS消息，这让黑客有机会开采这项漏洞，成功读取手机通话记录、联系人、存储、短信等。理论上，受害者只要手机预览通知消息，就会攻击。
从2014年（Android4.4.4）的Galaxy8、到今年推出的（Android10.0）GalaxyNote10+的三星智能手机，都受到这个漏洞影响。该漏洞被列为重大风险，所幸根据研究人员以MMS消息进行测试，攻击者必须发送50到300则消息，平均约花上100分钟，才能完成攻击。
在一月接获Google通知后，三星已在日前发布更新程序，完成包含本漏洞及其他8个重大风险，及20多个重要风险漏洞的修补，也呼吁用户更新软件。
GoogleProjectZero也在本月初公布iOS存在类似的零点击攻击漏洞。在Google通知下，苹果已提早完成修补。