Google descobre brecha em celulares Samsung

Foi descoberta uma vulnerabilidade de segurança zero-click em celulares Samsung. Descoberta por uma pesquisadora do Google Project Zero, a falha estava contida no decodificador de áudio Monkey”s Audio.

A brecha de segurança foi catalogada no banco de dados Common Vulnerabilities and Exposures (CVE) como CVE-2024-49415 e atingiu pontuação CVSS 8.1 — alto nível de gravidade.

Conforme a descrição, a falha consistia de um processo de escrita “out-of-bounds” (“Fora dos limites”, em tradução livre) do buffer do decodificador de áudio. Esse processo abria caminho para execução de código arbitrário sem qualquer interação por parte do usuário — portanto, uma brecha zero-click.

Segundo a documentação, o problema afetava celulares Samsung com Android 12, 13 e 14.

A pesquisadora explica que o erro criava uma nova superfície vulnerável a ataques sob condições específicas. Um dos cenários possíveis seria caso o celular estiver configurado para usar o protocolo RCS para mensagens por padrão que, nos sistemas mencionados, aciona o serviço de transcrição local sem sem consentimento do usuário.

Um atacante poderia aproveitar essa brecha para enviar uma mensagem de áudio maliciosa e, se o celular Samsung estiver com RCS habilitado, o processamento da mídia faria o decodificador travar.

Falha já foi corrigida

A brecha de celulares Samsung foi corrigida no patch de segurança de dezembro de 2024. Além dele, o pacote também corrigiu uma vulnerabilidade contida no SmartSwitch (CVE-2024-49413), ferramenta de transferência de dados entre dispositivos da fabricante sul-coreana.

O pacote de correção da Samsung deve ser distribuído para todos os modelos com suporte ativo ao longo de meses ou semanas. Fique atento às atualizações pendentes no seu celular caso ele ainda rode um dos sistemas impactados.