近期,谷歌Project Zero安全研究团队公开披露了一项针对三星海外版手机的高危安全漏洞,漏洞编号为CVE-2024-49415。此漏洞存在于三星手机内置的Monkey's Audio(APE)音频解码器组件libsaped.so中,性质为内存越界写入(OBW),其潜在危害不容小觑。
据详细报告显示,谷歌团队在Galaxy S23及S24系列的海外版手机中发现了这一安全缺陷。这些手机预装了Google Messages应用,并且默认启用了RCS(富通信套件)功能。攻击者能够利用这一漏洞,通过向目标手机发送特定的音频文件,远程触发libsaped.so组件崩溃,进而实现任意代码的远程执行。这种攻击方式无需用户进行任何交互操作,极大地增加了其隐蔽性和危害性。
面对这一严重安全威胁,三星公司在今年9月即已接到谷歌团队的报告,并迅速采取行动。在同年12月,三星通过发布SMR Dec-2024 Release 1安全补丁更新,成功修复了这一漏洞,从而避免了潜在的安全风险。
值得注意的是,尽管CVE-2024-49415的CVSS风险评分仅为8.1,但三星公司仍将其评定为“重大”级别。这一决策背后,反映出该漏洞无需用户干预即可被触发的高危特性,以及三星对于用户数据安全的高度重视。
此次安全漏洞的披露和修复过程,再次提醒了智能手机用户及厂商关于移动设备安全性的重要性。随着移动互联网的普及和智能设备的广泛应用,保障用户数据安全已成为行业共同面临的重大课题。三星和谷歌等企业的迅速响应和积极应对,无疑为行业树立了良好的榜样。
