To έργο διαμονής για την διάθεση των τελευταίων ενημερώσεων ασφαλείας του μήνα Μαίου έχει τεθεί σε εφαρμογή από την Samsung όσον αφορά τις κορυφαίες συσκευές της. Το Galaxy S20 έχει λάβει την τελευταία ενημερωμένη έκδοση κώδικα ακόμη και πριν από την επίσημη εισαγωγή της από την Google.
Κενό ασφαλείας στις Samsung Galaxy συσκευές που επιμένει εδώ και 6 χρόνια
Τώρα το επίσημο αρχείο καταγραφής αλλαγών σχετικά με την τελευταία ενημέρωση λογισμικού εμφανίστηκε τελικά στο δίκτυο και δίνεται η επιβεβαίωση πως έχουν εξαλειφθεί 9 κρίσιμες ευπάθειες που εντοπίστηκαν στο Android και 19 ευπάθειες που εντοπίστηκαν στο ιδιόκτητο λογισμικό της Samsung . Μία από αυτές τις 19 ευπάθειες είναι ένα κρίσιμο σφάλμα που υπάρχει σε όλα τα smartphones Galaxy από το 2014. Αυτό σημαίνει ότι ακόμη και παλιά smartphone όπως το Galaxy S5 ή το Galaxy Note 4 αντιμετωπίζουν το πρόβλημα.
Το ελάττωμα ασφαλείας εκμεταλλεύτηκε το γεγονός ότι η Samsung στην προσαρμοσμένη έκδοση του λειτουργικού συστήματος Android υποστηρίζει αρχεία σε μορφή Qmage (.qmg). Αυτή η μορφή αρχείου αναπτύχθηκε από τη νοτιοκορεατική εταιρεία Quramsoft. Όλα τα smartphone της σειράς Galaxy υποστηρίζουν αρχεία .qmg από το τέλος του 2014. Είναι ενδιαφέρον ότι η εφαρμογή δεν απέφυγε ένα σοβαρό κενό. Τα αρχεία Qmage σε smartphone Galaxy χρησιμοποιούνται για την υποστήριξη των θεμάτων Samsung.
Παράλληλα, η ερευνητική ομάδα του Google Project Zero ανακάλυψε μια ευπάθεια που επιτρέπει την εκμετάλλευση των ατελειών της εφαρμογής Qmage σε smartphone Samsung. Χρησιμοποιώντας την ευπάθεια μηδενικού κλικ, μπορείτε να αποκτήσετε πρόσβαση σε μία από τις βιβλιοθήκες του λειτουργικού συστήματος Android (Skia).
Η πρόσβαση στα αρχεία του λειτουργικού συστήματος γίνεται με την αποστολή μηνυμάτων MMS.
[via]