Миллионы смартфонов Samsung можно взломать, отправив одну картинку
Эксперт по компьютерной безопасности Матеуш Юрчик (Mateusz Jurczyk) из команды Google Project Zero нашел в смартфонах Samsung серьезную уязвимость. Отправив на смартфон несколько изображений формата Qmage, хакеры могут незаметно выполнить вредоносный код. Уязвимость можно использовать для кражи личных данных и даже слежения через фронтальную или основную камеру. На данный момент под угрозой взлома находятся миллионы пользователей.
По данным Forbes, уязвимость под кодовым названием SVE-2020-16747 была обнаружена зимой 2020 года. Проблема затрагивает только смартфоны Samsung, выпущенные после 2014 года. Именно тогда компания добавила в свои смартфоны поддержку изображений формата Qmage, разработанного южнокорейской компанией Quramsoft. Отправив на смартфон жертвы несколько десятков или сотен изображений с разрешением.qmg, хакеры в конечном итоге могут запустить любой вредоносный код. При этом пользователь может и не заметить атаку.
Процесс взлома через найденную уязвимость продемонстрировали специалисты из Google Project Zero. Они подготовили около 300 модифицированных Qmage-изображений и отправили их на смартфон жертвы через приложение "Сообщения". Таким образом они запустили процесс определения расположения в памяти устройства библиотеки Android Skia, необходимой для автоматической обработки каждого изображения. Как правило, эта библиотека выполняет задачи вроде создания миниатюр фотографий на фоне, так что пользователь может и не заметить протекания странных процессов в смартфоне.
По словам специалистов, для определения местоположения библиотеки Android Skia требуется около 300 сообщений и 100 минут. Адрес библиотеки на каждом устройстве разный, потому что его меняет система защиты под названием Android ASLR (Address Space Layout Randomization). После обнаружения библиотеки, сотрудники Google отправили на смартфон изображение с "полезной нагрузкой" в виде вредоносного кода. Он запустился автоматически и в теории мог украсть важные данные пользователя вроде платежных реквизитов.
По словам сотрудников Google, атаку можно провести при помощи любого приложения, способного принимать файлы от других людей. Проблема затрагивает миллионы устройств Samsung младше 2014 года. Производитель уже выпустил майское обновление безопасности Android с исправлением проблемы, но его пока получило минимальное количество пользователей. Владельцы старых смартфонов могут не дождаться обновления, то есть всегда будут подвержены взлому.
Команда специалистов по компьютерной безопасности Google Project Zero была сформирована в 2014 году с целью обезопасить интернет. Обнаруживая уязвимости в операционных системах, эксперты тут же сообщают о них разработчикам. Чтобы злоумышленники не могли ими воспользоваться, информация о программных ошибках раскрываются публике только спустя 90 дней.