Alerta crítica: Vulnerabilidad en dispositivos Samsung permite ejecución remota de código

Investigadores han revelado una vulnerabilidad crítica en el decodificador de Monkey’s Audio (APE) presente en smartphones Samsung, que podría permitir la ejecución remota de código malicioso. Identificada como CVE-2024-49415 y con una puntuación CVSS de 8.1, esta falla afecta a dispositivos Samsung que operan con Android 12, 13 y 14.

Según el boletín de seguridad de Samsung de diciembre de 2024, la vulnerabilidad se debe a un problema de escritura fuera de los límites en la biblioteca libsaped.so. Esto significa que, al procesar ciertos datos, el sistema escribe información más allá del espacio de memoria reservado, lo que puede provocar errores graves y abrir la puerta a que un atacante ejecute código malicioso en el dispositivo. La investigadora de Google Project Zero, Natalie Silvanovich, descubrió y reportó este fallo, destacando que puede ser explotado sin interacción del usuario, es decir, mediante un ataque de zero-click.

El vector de ataque se activa cuando la aplicación Google Messages está configurada para utilizar servicios de comunicación enriquecida (RCS), configuración predeterminada en modelos como los Galaxy S23 y S24. El servicio de transcripción de mensajes decodifica localmente los audios entrantes antes de que el usuario los abra, facilitando la explotación de la vulnerabilidad.

Silvanovich explicó que la función saped_rec en libsaped.so escribe en un búfer de tamaño fijo asignado por el servicio de medios C2. Sin embargo, un archivo APE manipulado con un valor elevado de blocksperframe puede desbordar este búfer, permitiendo la ejecución de código malicioso.

En un escenario de ataque, un adversario podría enviar un mensaje de audio especialmente diseñado a un dispositivo objetivo con RCS habilitado, provocando que el proceso de codificación de medios (samsung.software.media.c2) se bloquee o ejecute código arbitrario.

Samsung ha abordado esta vulnerabilidad en su actualización de seguridad de diciembre de 2024, instando a los usuarios a actualizar sus dispositivos para mitigar posibles riesgos. Además, se corrigió otra vulnerabilidad de gran severidad en SmartSwitch (CVE-2024-49413) que permitía a atacantes locales instalar aplicaciones maliciosas debido a una verificación inadecuada de firmas criptográficas.

Más información:

• Google Project Zero Researcher Uncovers Zero-Click Exploit Targeting Samsung Devices: https://thehackernews.com/2025/01/google-project-zero-researcher-uncovers.html
• Samsung Mobile Security – https://security.samsungmobile.com/securityUpdate.smsb
• Monkey’s Audio :https://en.wikipedia.org/wiki/Monkey%27s_Audio 
• CVE-2024-49413
• CVE-2024-49415 

La entrada Alerta crítica: Vulnerabilidad en dispositivos Samsung permite ejecución remota de código se publicó primero en Una Al Día.