سامسونگ آسیب‌پذیری خطرناک گوشی‌های سری گلکسی را پس از ۶ سال برطرف کرد

سامسونگ هفته گذشته آپدیت امنیتی ماه مه ۲۰۲۰ را برای گوشی‌های خود منتشر کرد. این به روزرسانی ۹ آسیب پذیری خطرناک اندروید و ۱۹ آسیب پذیری در رابط کاربری سامسونگ را رفع کرده است. یکی از این ۱۹ آسیب پذیری، باگ خطرناکی بوده که از سال ۲۰۱۴ در گوشی‌های سری گلکسی وجود داشته است.

آسیب پذیری مورد بحث در رابط کاربری سفارشی سامسونگ قرار داشته و به نحوه تعامل آن با فرمت Qmage باز می‌گردد. این فرمت در تم‌های سامسونگ به کار می‌رود و تمامی گوشی‌های سری گلکسی از سال ۲۰۱۴ از آن پشتیبانی می‌کنند.

«Mateusz Jurczyk»، محقق امنیتی که با تیم Project Zero گوگل همکاری می‌کند، این آسیب پذیری را پیدا کرد. او با استفاده از ارسال عکس‌های Qmage به گوشی‌های سامسونگ، روشی برای سوء استفاده از کتابخانه گرافیکی اندروید به نام «Skia» پیدا کرده است. به گفته او هکرها می‌توانند بوسیله این آسیب پذیری بدون اینکه کاربر کاری انجام دهد گوشی را هک کنند.

اندروید در حالت پیش فرض تمام عکس‌های دریافتی توسط دستگاه را به کتابخانه‌ای به نام Skia ارسال کرده و سپس برای آن‌ها Thumbnail می‌سازد. تمام این اتفاقات بدون دخالت یا آگاهی کاربر انجام می‌شوند. محقق امنیتی یاد شده چندین MMS به گوشی‌های سامسونگ ارسال کرد تا از مکان کتابخانه Skia در حافظه گوشی باخبر شود.

دانستن مکان کتابخانه Skia قدم مهمی برای عبور از سپر امنیتی اندروید است. زمانی که هکر مکان Skia را فهمید، می‌تواند MMS حاوی فایل Qmage را به گوشی کاربر ارسال کرده و کد مخرب را روی آن اجرا کند.

برای سوء استفاده از این آسیب پذیری به ارسال ۵۰ تا ۳۰۰ پیام نیاز است و در مدت زمان ۲ ساعت و بدون باخبر شدن کاربر انجام می‌گیرد. از طریق اپلیکیشن‌های دیگری که عکس‌های Qmage را دریافت می‌کنند نیز می‌توان از این آسیب پذیری سوء استفاده کرد.

سامسونگ بالاخره پس از ۶ سال هفته گذشته حفره یاد شده را با به روزرسانی May 2020 برطرف کرده است. بنابراین در صورتی که این به روزرسانی را خود نصب نکرده‌اید، بهتر است هر چه زودتر این کار را انجام دهید.