O Google tem se esforçado muito nos últimos anos para combater vulnerabilidades do Android que atrapalham a vida dos consumidores. Desta vez, uma vulnerabilidade de segurança zero-click foi descoberta em celulares Samsung, exposta pela pesquisadora do Google Project Zero. Tal problema apareceu diretamente no decodificador de áudio Monkey’s Audio.
Catalogada no banco de dados Common Vulnerabilities and Exposures (CVE) como CVE-2024-49415, a falha alcançou uma pontuação CVSS de 8.1. Como resultado, atingiu um nível preocupante de gravidade. De acordo com dados fornecidos, a brecha afetava celulares Samsung rodando Android 12, 13 e 14. A pesquisadora destacou que o erro criava uma nova superfície vulnerável a ataques em condições específicas.
Entenda o problema
A falha envolvia um processo de escrita “out-of-bounds” no buffer do decodificador de áudio, possibilitando a execução de código arbitrário sem qualquer interação do usuário, configurando uma brecha zero-click. Um exemplo seria se o celular estivesse configurado para usar o protocolo RCS para mensagens por padrão. Nesse caso, o serviço de transcrição local seria acionado sem o consentimento do usuário.
Tal vulnerabilidade seria uma porta aberta para cibercriminosos. Afinal, um hacker poderia enviar uma mensagem de áudio maliciosa, e se o protocolo RCS estivesse habilitado, o processamento da mídia poderia fazer o decodificador travar.
Correção da Vulnerabilidade
Felizmente, a Samsung já está ciente da situação e concertou a falha através do patch de segurança de dezembro de 2024. Este pacote também corrigiu uma vulnerabilidade no SmartSwitch (CVE-2024-49413), uma ferramenta de transferência de dados entre dispositivos. Assim, recomenda-se instalar a última atualização de software da Samsung que resolve tal problema!
