A falha, catalogada como CVE-2024-49415 e com pontuação 8,1 no CVSS, está ligada ao codec Monkey’s Audio (APE), amplamente utilizado nos dispositivos da marca.
De acordo com o boletim de segurança da Samsung de dezembro, o problema está na biblioteca “libsaped.so” e permite que invasores executem código remotamente sem interação do usuário, configurando um ataque “zero clique”. Natalie Silvanovich, do Google Project Zero, revelou que a falha ocorre ao processar automaticamente mensagens de áudio no aplicativo Mensagens do Google, especialmente com o RCS ativado, padrão em modelos como Galaxy S23 e S24.

Falha Zero-Day Identificada no Samsung S24 – Foto: Freepik

O problema técnico está na função “saped_rec”, que manipula dados em buffer. Um arquivo de áudio malicioso com o parâmetro “blocksperframe” excessivamente grande pode causar um estouro de buffer, possibilitando a execução de código arbitrário. O ataque ocorre com o envio de uma mensagem de áudio maliciosa, acionando a falha automaticamente.

Além disso, outra vulnerabilidade, CVE-2024-49413, foi corrigida na mesma atualização. Ela afeta o aplicativo SmartSwitch, permitindo que invasores locais instalem aplicativos maliciosos devido a uma verificação inadequada de assinaturas criptográficas.

A Samsung já disponibilizou atualizações para solucionar ambos os problemas e recomenda que os usuários mantenham seus dispositivos atualizados. A descoberta reforça a necessidade de medidas preventivas, especialmente diante da crescente sofisticação de ataques “zero clique”.

O artigo "Zero-day descoberto no Samsung S24" foi escrito pela Redação no site Ciso Advisor.

Disponível em: https://www.cisoadvisor.com.br/zero-day-descoberto-no-samsung-s24/