МОСКВА, 7 мая — ПРАЙМ. Южнокорейская компания Samsung выпустила майское обновление безопасности для своих флагманских устройств (Galaxy S20 и Galaxy Fold), опередив Google.
Это оказалось необходимо из-за того, что в майском патче специалисты исправляют критическую уязвимость, которая была на всех смартфонах компании, выпущенных с 2014 года.
Уязвимость SVE-2020-16747 выявил специалист по безопасности Матеуш Юрчик из Google Project Zero, сообщает ZDnet.
Проблема кроется в формате изображения Qmage (.qmg), он поддерживается всеми телефонами Samsung, которые компания выпустила с 2014 года. Еще одна проблема — как графическая библиотека Android Skia работает с такими изображениями, отсылаемыми на устройства.
Юрчик сообщил, что обнаружил эксплойт, который дает использовать эти функции: это не требует каких-либо действий со стороны пользователя гаджета, так как Android перенаправляет все изображения в библиотеку Skia в автоматическом режиме, без уведомлений владельца устройства.
Специалист показал использование этой уязвимости на примере приложения Samsung Messages (оно установлено на всех смартфонах бренда), отправляя на телефон повторные MMS-сообщения. В результате Qmage в последнем MMS был доставлен с "нагрузкой", это позволило выполнить вредоносный код на смартфоне.