三星刚刚修复了自2014年以来所有智能手机中存在的错误

据报道，三星2020年5月的软件更新修复了智能手机中的一个漏洞，该漏洞使黑客无需用户干预即可远程利用该设备。据ZDNet报告，此漏洞在2014年以来发布的所有三星手机中均已发现。它是由Google零项目团队的安全研究员Mateusz Jurczyk发现的。

据说该错误与Skia(Android图形库)及其如何处理自定义Qmage图像格式(.qmg)有关，这是该韩国技术公司自2014年以来就开始在其设备上支持的功能。

根据Jurczyk，无需任何用户交互即可利用Qmage错误。这是因为Android操作系统会将所有发送到设备的图像重定向到Skia库进行处理，包括创建缩略图等，而不会打扰用户。

因此，研究人员开发了一个使用该漏洞以及所有智能手机中都存在的Samsung Messages应用程序的演示。这个程序不仅处理短信，而且彩信多媒体。Jurczyk能够通过将MMS反复发送到Samsung设备来利用此错误。它们被发送到Android手机中的Skia库中，这对于绕过Android的ASLR(地址空间布局随机化)保护很重要。一旦找到，最后一个MMS将在设备上传递Qmage有效负载。

研究人员甚至补充说，发送给用户的SMS或MMS可以配置为在没有任何警报的情况下到达手机。Jurczyk说：“我已经找到了在不触发Android通知声音的情况下完全处理MMS消息的方法，因此完全隐身攻击是可能的，”

还提到了此错误仅与Samsung Messages应用程序无关，并且可以在支持Qmage的任何应用程序上存在。

标签：

版权声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。