Samsung confirma problema crítico de seguridad en millones de dispositivos Galaxy
Las actualizaciones de seguridad mensuales de Samsung han comenzado a implementarse. Si posees un teléfono inteligente Samsung adquirido desde finales de 2014 en adelante, es mejor que esperes que la actualización llegue pronto a tu dispositivo.
¿Por qué? Solo por un pequeño problema de una vulnerabilidad de seguridad crítica “perfecta 10”. Dicha vulnerabilidad puede permitir la ejecución arbitraria de código remoto (RCE) si se explota.
Ah, sí, y esa RCE arbitraria puede suceder sin la necesidad de interacción del usuario, ya que esta es una vulnerabilidad de “clic cero”. Y si crees que eso suena bastante serio, eso no es todo. La vulnerabilidad afecta a todos los teléfonos inteligentes Galaxy que Samsung ha fabricado desde finales de 2014 en adelante.
Explicando la vulnerabilidad crítica “perfecta” para tu teléfono inteligente Samsung Galaxy
Cuando a un problema de seguridad se le asigna una calificación de riesgo 10 bajo el sistema común de calificación de vulnerabilidades (CVSS), entonces es peligrosa. Esto es sinónimo de preocupación.
Esos puntajes perfectos de 10 no son típicos, pero surgen de vez en cuando. En esta ocasión, se trata de una vulnerabilidad que fue descubierta por investigadores que trabajan en Google Project Zero.
Una vulnerabilidad crítica que existe dentro del manejo de Samsung del formato de imagen Qmage en Android. Una vulnerabilidad crítica, que existe desde finales de 2014 cuando Samsung comenzó a admitir el formato .qmg en todos sus dispositivos Galaxy.
Mateusz Jurczyk, el investigador de Project Zero que encontró la vulnerabilidad afirmó que podría explotarse sin que se requiriera ninguna interacción del usuario. Este es un tipo de ataque llamado clic cero (zero-click). De hecho, es el mismo tipo de explotación de clic cero que el equipo de Project Zero encontró recientemente en el ecosistema de Apple.
El problema de seguridad se debe a la forma en que los teléfonos inteligentes de Samsung administran las imágenes .qmg enviadas al dispositivo. En la manera en que la biblioteca de gráficos de Android, Skia, procesa los archivos.
Un ejemplo típico de este tipo de procesamiento de Skia es la creación de imágenes en miniatura.
A menos que seas un verdadero geek tecnológico con interés en el funcionamiento profundo del sistema operativo Android de Samsung, no sabrás que esto sucede. Incluso si fueras esa persona, no hay interacción del usuario en el proceso; simplemente sucede, con cero clics.
Creación de un exploit de Samsung Galaxy con clic cero
Jurczyk creó un exploit de prueba de concepto para demostrar cómo un atacante podría usar esta vulnerabilidad. Atacó la aplicación predeterminada de mensajes de Samsung. Él la atacó con entre 50 y 300 mensajes MMS para descubrir dónde estaba la biblioteca de Skia en la memoria del dispositivo.
Una vez que la localizó, el payload podría ser entregado. Esto permite al atacante ejecutar de forma remota e invisible código que podría ser malicioso en su intento. Es obvio, ¿por qué otra persona ejecutaría remotamente el código en su dispositivo? Puedes leer la investigación de Project Zero “Fuzzing ImageIO” aquí.
Esta vulnerabilidad ha sido identificada como CVE-2020-8899, en donde describe la explotabilidad de la mencionada vulnerabilidad. “Un atacante no autenticado y no autorizado que envía un MMS especialmente diseñado a un teléfono vulnerable puede desencadenar un desbordamiento de búfer. Esto basado en el códec de imagen Quram que conduce a un control remoto arbitrario de ejecución de código (RCE) sin interacción del usuario “.
¿Qué necesitas hacer ahora para mitigar el riesgo de ataque de esta vulnerabilidad de Samsung?
La buena noticia es que, los investigadores de Google han trabajado con Samsung y revelan esta vulnerabilidad crítica, ahora que se ha parcheado. Bueno, se ha incluido un parche en la actualización de seguridad de mayo de 2020 que comenzó a circular la semana pasada.
El parche “agrega la validación adecuada para evitar sobrescribir la memoria”, según las notas de actualización. Te recomendamos que apliques esta actualización con carácter de urgencia ahora que los actores potenciales de ataques conocen la existencia de esta vulnerabilidad.
Hasta entonces, lo mejor es cambiar a una aplicación de mensajería que no sea la predeterminada de Samsung. También debes deshabilitar el análisis automático de MMS. Estas acciones pueden ayudar a mitigar cualquier ataque si los ciberdelincuentes comienzan a explotar la vulnerabilidad.
Sin embargo, la mala noticia es que, al ser un ecosistema tan fracturado, cuando tu dispositivo Android reciba ese parche de seguridad, francamente, nadie lo sabe. Mi relativamente nuevo Samsung Galaxy Note 10+ 5G aún no lo ha recibido, por ejemplo.
Las malas noticias empeoran a medida que envejece tu dispositivo. Si tu teléfono inteligente Galaxy tiene la edad suficiente para estar en actualizaciones de seguridad trimestrales ahora, ¿tu dispositivo recibirá esta actualización crítica?
¿Qué pasa con los teléfonos inteligentes que han abandonado el ciclo de actualización por completo, obtendrán alguna protección contra este ataque de clic cero? Estas son preguntas que le hemos hecho a Samsung y esperamos poder responder una vez que recibamos una respuesta.