Samsung Galaxy: más vulnerable que un abuelo en la pandemia

Samsung Galaxy, la debilidad de una falla catastrófica
Samsung Galaxy, la debilidad de una falla catastrófica

Las actualizaciones de seguridad mensuales de Samsung han comenzado a implementarse.

Si posee un teléfono inteligente Samsung que se vendió desde finales de 2014 en adelante, es mejor que espere que la actualización llegue pronto a su dispositivo.

¿Por qué?

Solo el pequeño detallito de una vulnerabilidad de seguridad crítica “hermosa” que puede permitir la ejecución arbitraria de código remoto (RCE) si se explota.

Por cierto y como para que hoy no pueda dormir, ese RCE arbitrario puede suceder sin la interacción del usuario necesaria, ya que esta es una vulnerabilidad de “clic cero“.

Y si Usted cree que eso suena bastante serio, y lo es, hay más por venir: la vulnerabilidad afecta a todos los teléfonos inteligentes Galaxy que Samsung que fabricó desde finales de 2014 en adelante.

La vulnerabilidad crítica que supera al COVID-19 y vive en su teléfono

Cuando a un problema de seguridad se le asigna una calificación de riesgo perfecta de 10 bajo el sistema común de calificación de vulnerabilidad (CVSS), entonces sabe que es tan peligroso como puede ser.

Esos puntajes perfectos de 10 no son típicos, pero surgen de vez en cuando, como para generar cierto vértigo en los usuarios.

En esta ocasión, se trata de una vulnerabilidad que fue descubierta por investigadores que trabajan en el Proyecto Cero de Google.

Una vulnerabilidad crítica que existe dentro del manejo de Samsung del formato de imagen Qmage en Android.

Una vulnerabilidad crítica, por lo tanto, existe desde finales de 2014 cuando Samsung comenzó a admitir el formato .qmg en todos sus dispositivos Samsung Galaxy.

Mateusz Jurczyk, uno de los investigadores del Proyecto Cero que encontró la vulnerabilidad, dijo que podría explotarse sin que se requiriera ninguna interacción del usuario.

Un ataquecito que requiere cero clics

De hecho, es el mismo tipo de explotación de clic cero que el equipo de Project Zero encontró recientemente en el ecosistema de Apple .

El problema de seguridad se debe a la forma en que los teléfonos inteligentes de Samsung manejan las imágenes .qmg enviadas al dispositivo, que la biblioteca de gráficos de Android, Skia, procesa.

Un ejemplo típico de este tipo de procesamiento de Skia es la creación de imágenes en miniatura.

A menos que sea un verdadero tipo tecnológico con interés en el funcionamiento profundo y oscuro de la variedad del sistema operativo Android de Samsung, no sabrá que esto sucede.

Incluso si Usted fuera una de esas personas, no hay interacción del usuario en el proceso; simplemente sucede, con cero clics.

Exploit de Samsung Galaxy con clic cero

Jurczyk creó una prueba de explotación de concepto para demostrar cómo un atacante podría usar esta vulnerabilidad.

Atacó la aplicación predeterminada de mensajes de Samsung y la bombardeó con entre 50 y 300 mensajes MMS para descubrir dónde estaba la biblioteca de Skia en la memoria del dispositivo.

Una vez que lo localizó, la carga útil podría ser entregada, lo que permite al atacante ejecutar de forma remota e invisible código que podría ser malicioso en su intento.

Asúmalo, ¿por qué otra persona ejecutaría remotamente el código en su dispositivo?

Puede leer la investigación del Proyecto Cero “Fuzzing ImageIO” aquí.

Esta vulnerabilidad se rastrea como CVE-2020-8899, que describe la explotabilidad de la siguiente manera: “Un atacante no autenticado y no autorizado que envía un MMS especialmente diseñado a un teléfono vulnerable puede desencadenar un desbordamiento del búfer basado en el montón en el códec de imagen Quram que conduce a un control remoto arbitrario ejecución de código (RCE) sin ninguna interacción del usuario “.

¿Qué necesita hacer ahora para mitigar el riesgo de ataque de vulnerabilidad de Samsung?

La buena noticia es que, por los investigadores de Google que trabajan con Samsung y revelan esta vulnerabilidad crítica, ahora se ha parcheado.

Bueno, se incluye un parche en la actualización de seguridad de mayo de 2020 que comenzó a circular la semana pasada. El parche “agrega la validación adecuada para evitar sobrescribir la memoria”, según las notas de actualización.

Se recomienda que aplique esta actualización con carácter de urgencia ahora que los actores potenciales de la amenaza conocen la existencia de esta vulnerabilidad.

La mala noticia es que, al ser un ecosistema tan fracturado, cuando su dispositivo recibe ese parche de seguridad, francamente, nadie lo sabe.

Imagine que el Samsung Galaxy Note 10+ 5G aún no lo ha recibido, por ejemplo.

Las malas noticias empeoran a medida que envejece su dispositivo.

Si su teléfono inteligente Galaxy tiene la edad suficiente para estar en actualizaciones de seguridad trimestrales ahora, ¿su dispositivo recibirá esta actualización crítica? ¿Qué pasa con los teléfonos inteligentes que han abandonado el ciclo de actualización por completo, obtendrán alguna protección contra este ataque de clic cero?

Yo personalmente admiro al gigante coreano, me siento muy cómodo con sus teléfonos en mi mano, de hecho lo he recomendado múltiples veces, pero no sería honesto si no le cuento esta linda historia.

Solo me resta decirle “duerma bien”, si puede…

 

Por Marcelo Lozano – General Publisher IT Connect Latam