近期,谷歌Project Zero安全研究團隊公開披露了一項針對三星海外版手機的高危安全漏洞,漏洞編號為CVE-2024-49415。此漏洞存在于三星手機內置的Monkey's Audio(APE)音頻解碼器組件libsaped.so中,性質為內存越界寫入(OBW),其潛在危害不容小覷。
據詳細報告顯示,谷歌團隊在Galaxy S23及S24系列的海外版手機中發現了這一安全缺陷。這些手機預裝了Google Messages應用,并且默認啟用了RCS(富通信套件)功能。攻擊者能夠利用這一漏洞,通過向目標手機發送特定的音頻文件,遠程觸發libsaped.so組件崩潰,進而實現任意代碼的遠程執行。這種攻擊方式無需用戶進行任何交互操作,極大地增加了其隱蔽性和危害性。
面對這一嚴重安全威脅,三星公司在今年9月即已接到谷歌團隊的報告,并迅速采取行動。在同年12月,三星通過發布SMR Dec-2024 Release 1安全補丁更新,成功修復了這一漏洞,從而避免了潛在的安全風險。
值得注意的是,盡管CVE-2024-49415的CVSS風險評分僅為8.1,但三星公司仍將其評定為“重大”級別。這一決策背后,反映出該漏洞無需用戶干預即可被觸發的高危特性,以及三星對于用戶數據安全的高度重視。
此次安全漏洞的披露和修復過程,再次提醒了智能手機用戶及廠商關于移動設備安全性的重要性。隨著移動互聯網的普及和智能設備的廣泛應用,保障用戶數據安全已成為行業共同面臨的重大課題。三星和谷歌等企業的迅速響應和積極應對,無疑為行業樹立了良好的榜樣。
