اینجا چرا همه کهکشان گوشی های سامسونگ (2014 یا بعد از آن) نیاز به به روز رسانی در حال حاضر

اگر شما خود سامسونگ کهکشان گوشی های تولید شده در سال 2014 یا بعد از آن (که شامل این سال کهکشان S20 خط) مطمئن شوید که شما نصب به صورت ماهیانه به روز رسانی امنیتی در اسرع وقت. چرا که از یک "صفر-با کلیک بر روی" آسیب پذیری است که می تواند اجازه می دهد یک مهاجم برای بارگذاری کدهای مخرب بر روی تلفن خود را. به گفته ZDNet ها, Mateusz Jurczyk یک محقق با گوگل در پروژه صفر تیم کشف کرد که در گوشی های سامسونگ این فرآیند مورد استفاده توسط آندروید Skia گرافیک کتابخانه به مسئولیت رسیدگی به تصاویر در Qmage فرمت گرافیکی (.qmg) دارای یک اشکال است که می تواند مورد سوء استفاده توسط یک بازیگر بد.

به مسائل بدتر صفر بر تعیین بدان معنی است که کاربر لازم نیست برای ارتباط برقرار کردن با هر بخش خاص از تلفن برای دستگاه به بهره برداری می شود. هنگامی که یک تلفن آندروید است که با ارسال یک تصویر از آن است که هدایت به Skia کتابخانه تصویر برای پردازش بدون اطلاع کاربر. Jurczyk ایجاد تصویری از خود را اثبات مفهوم آزمایشی که نشان داد بهره برداری در گوشی های سامسونگ برنامه پیام. محقق آزمایش بهره برداری توسط بارها و بارها با ارسال پیام های MMS به گوشی سامسونگ, در حالی که تلاش برای دور زدن محافظ ASLR (Address Space Layout تصادفی) امنیت روش. آن او را در زمان 100 دقیقه و مورد نیاز او را به ارسال 50 تا 300 پیام های MMS برای دور زدن ASLR. "من در بر داشت راه برای دریافت پیام های MMS به طور کامل فرآوری و بدون راه اندازی یک هشدار از طریق صدا در آندروید تا به طور کامل خفا حملات ممکن است ممکن است" Jurczyk گفت.

اخیر به روز رسانی امنیتی منتشر شده توسط سامسونگ تا به این بهره برداری تعیین شده به عنوان SVE-2020-16747 و Jurczyk گزارش در پروژه صفر سایت می توان در اینجا یافت نشد. به تازگی پروژه صفر نیز یافت می شود چندین آسیب پذیری در تصویر I/O مورد استفاده برای تجزیه و کار با فایل های تصویری بر روی همه اپل سیستم عامل. این وصله.