Samsung Galaxy bug

Samsung Galaxy, attenzione al bug che arriva con un MMS

Un bug sui telefoni Samsung Galaxy prende il controllo dello smartphone dopo che avete aperto un'immagine arrivata con un MMS. Ecco come scaricare l'aggiornamento con la correzione
Samsung Galaxy, attenzione al bug che arriva con un MMS FASTWEB S.p.A.

Una vulnerabilità scoperta dai ricercatori sulla sicurezza di Google è stata divulgata da Samsung e modificata con un aggiornamento software che molti dispositivi dovrebbero vedere già da questo mese. Si tratta di un aggiornamento consigliato, come la maggior parte degli aggiornamenti orientati alla sicurezza, e dovrebbe essere scaricato da tutti gli utenti dei telefoni Samsung il prima possibile. Questo aggiornamento è applicabile praticamente a tutti gli smartphone venduti a partire dal 2014.

Il bug arriva nel formato immagine Qmage (.qmg) ed è stato scoperto all'inizio di quest'anno sui dispositivi Samsung. Mateusz Jurczyk, membro del team di ricerca di bug Project Zero di Google, ha scoperto il bug e ha riferito in che modo potrebbe potenzialmente influire su praticamente tutti i dispositivi Samsung venduti nell'ultima metà del decennio, ovvero da quando Samsung ha iniziato a supportare il formato di immagine Qmage nei telefoni Android.

La vulnerabilità potrebbe potenzialmente sfruttare il modo in cui la libreria grafica Android (Skia) gestisce le immagini di Qmage. Se un'immagine Qmage viene inviata a un dispositivo Samsung, viene inviata alla libreria Skia del dispositivo per l'elaborazione. Se un'immagine di dimensioni standard viene inviata a un telefono, la libreria Skia in Android elaborerà l'immagine in diversi modi, ad esempio ridimensionandola per la visualizzazione nelle notifiche.

Come avviene l'attacco

L'attaccante invia un numero di messaggi MMS a un utente di un dispositivo Samsung, e ogni MMS tenta di indovinare la posizione della libreria Skia nella memoria di un particolare dispositivo Android. NOTA: questo primo passo è piuttosto selvaggio - richiede decine se non centinaia di messaggi inviati nel corso di circa 100 minuti - non passa inosservato. Guarda il video qui sotto per vedere come è fatto:

Una volta trovata la libreria Skia del dispositivo Android (l'immagine viene posizionata in modo casuale con Android ASLR, il che è positivo, ma chiaramente imperfetto come dimostra questo exploit), avviene il passaggio successivo. L'immagine viene inviata con lo stesso sistema MMS dei primi messaggi, ma è codificata in modo da consentire l'attacco reale.

Tutto ciò può essere fatto senza alcun input da parte della vittima, ovvero non c'è neanche bisogno di aprire il messaggio. Di sicuro non una bella notizia. Fortunatamente, però, sembrerebbe che la vulnerabilità sia stata scoperta prima che venisse mai utilizzata per attaccare un dispositivo al di fuori dei test.

Come correggere il bug

Molto probabilmente avrete già ricevuto l'avviso di un aggiornamento di sicurezza disponibile questa settimana o comunque lo riceverete molto presto. Andate su Impostazioni, scrollate fino alla fine dell'elenco delle Impostazioni per trovare la voce "Aggiornamenti di sistema", selezionatelo e toccate "Verifica aggiornamenti di sistema". Se il vostro dispositivo non è impostato per gli aggiornamenti automatici sulla sicurezza, scaricate l'aggiornamento.

Questo aggiornamento è incluso nella patch SMR-MAGGIO 2020.

8 maggio 2020

Fonte: slashgear.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail