Underc0de - La Casa de los Informáticos

Los investigadores de ciberseguridad han revelado detalles sobre una vulnerabilidad crítica que afectaba a millones de teléfonos inteligentes Samsung con Android 12, 13 y 14, vinculada al decodificador Monkey's Audio (APE). El fallo, identificado como CVE-2024-49415 con una puntuación CVSS de 8.1, podría permitir la ejecución remota de código arbitrario sin interacción del usuario.

Afortunadamente, Samsung ya ha parchado la vulnerabilidad en diciembre de 2024 dentro de sus actualizaciones de seguridad mensuales. Sin embargo, este caso ha llamado poderosamente la atención de la comunidad de ciberseguridad porque demuestra cómo un servicio cotidiano como Google Messages y RCS puede convertirse en un vector de ataque invisible para los usuarios.

Detalles técnicos de la vulnerabilidad

El error residía en la biblioteca libsaped.so previa a la versión incluida en la SMR (Samsung Mobile Release) de diciembre de 2024. Según Samsung, el problema estaba relacionado con una escritura fuera de los límites (out-of-bounds write) dentro de la función saped_rec, que podía ser aprovechada para que atacantes remotos ejecutaran código malicioso.

El aviso de seguridad publicado por Samsung señaló que la corrección consistió en implementar una validación de entrada adecuada, previniendo que los datos manipulados sobrepasaran la memoria asignada.

Descubrimiento por Project Zero

La vulnerabilidad fue descubierta por Natalie Silvanovich, investigadora del prestigioso equipo Google Project Zero, conocido por detectar fallos críticos en software ampliamente utilizado.

Silvanovich describió la falla como un ataque de "cero clic", es decir, que no requiere que el usuario realice ninguna acción para activarse. Esta característica aumenta el riesgo de explotación, ya que los atacantes solo necesitan enviar un archivo malicioso para comprometer el dispositivo.

Además, la investigadora destacó que la falla exponía una "nueva y divertida superficie de ataque", ya que se encontraba en un componente poco habitual para este tipo de vulnerabilidades: el decodificador Monkey's Audio (APE).

Cómo funciona el ataque

El escenario de ataque aprovecha la forma en que Google Messages maneja los archivos de audio en RCS (Rich Communication Services).

• En los Samsung Galaxy S23 y S24, RCS viene habilitado por defecto.
• Cuando llega un mensaje de audio entrante, el sistema intenta transcribirlo automáticamente.
• Para ello, el archivo se decodifica antes de que el usuario lo abra o interactúe con él.

Esto significa que un archivo APE malicioso podría desencadenar el ataque de manera automática, explotando la función vulnerable en libsaped.so.

Según Silvanovich, el problema radicaba en que saped_rec escribía datos en un buffer asignado por el servicio de medios C2. El tamaño del buffer siempre era 0x120000, pero si el archivo APE contenía ciertos valores manipulados, podía causar un desbordamiento del búfer.

CitarEn palabras simples: un atacante podía enviar un archivo de audio diseñado especialmente para desbordar la memoria y ejecutar código malicioso dentro del sistema multimedia de Samsung.

El impacto inmediato sería un bloqueo del proceso del códec ("samsung.software.media.c2"), pero con suficiente sofisticación el exploit podría llevar a la ejecución remota de código y comprometer datos sensibles del dispositivo.

Otro fallo crítico: CVE-2024-49413 en SmartSwitch

La actualización de diciembre de 2024 también corrigió otra vulnerabilidad importante: CVE-2024-49413 con una puntuación CVSS de 7.1.

En este caso, el fallo residía en Samsung SmartSwitch, la herramienta utilizada para transferir datos entre dispositivos Galaxy. Una validación incorrecta de firmas criptográficas permitía a atacantes locales instalar aplicaciones maliciosas en el sistema.

Aunque su explotación requería acceso físico o local, la falla reforzó la importancia de aplicar siempre los boletines de seguridad mensuales de Samsung.

Riesgos para los usuarios

El fallo CVE-2024-49415 representa un ejemplo de lo peligrosos que pueden ser los ataques sin interacción del usuario en el ecosistema móvil:

• Usuarios finales: riesgo de espionaje, robo de datos privados, instalación de malware y control remoto del dispositivo.
• Empresas: posibilidad de comprometer dispositivos corporativos, con impacto en datos confidenciales y comunicaciones internas.
• Sector de ciberseguridad: evidencia de que los servicios de mensajería y sus códecs asociados son un vector cada vez más atractivo para atacantes avanzados.

Cómo protegerse

Para mitigar los riesgos, Samsung recomienda:

• Actualizar de inmediato todos los dispositivos a la versión de seguridad de diciembre de 2024 o superior.
• Deshabilitar RCS en Google Messages si no es estrictamente necesario, especialmente en entornos empresariales.
• Instalar solo apps oficiales desde la Galaxy Store o Google Play Store.
• Aplicar parches de seguridad mensuales sin demora, ya que estos corrigen fallos críticos descubiertos constantemente.

En fin, la vulnerabilidad CVE-2024-49415 en Samsung, descubierta por Google Project Zero, demuestra que incluso componentes aparentemente secundarios como los decodificadores de audio (Monkey's Audio APE) pueden convertirse en graves riesgos de seguridad.

Aunque el fallo ya fue parchado en diciembre de 2024, es esencial que los usuarios actualicen sus dispositivos y mantengan activas las medidas de seguridad. En un mundo donde los ataques "cero clic" son cada vez más frecuentes, la actualización proactiva sigue siendo la mejor defensa.

Fuente: https://thehackernews.com/