Hackeo mediante mensaje de audio: cientos de miles de teléfonos inteligentes Samsung son vulnerables

En el códec Monkey’s Audio (APE), utilizado en los teléfonos inteligentes Samsung, se ha descubierto una grave vulnerabilidad que permite la ejecución de código arbitrario. El problema, identificado como CVE-2024-49415 y con una puntuación CVSS de 8.1, afecta a dispositivos con Android versiones 12, 13 y 14.

En el boletín de seguridad de diciembre, Samsung informa que un error en la biblioteca «libsaped.so» permite a atacantes remotos ejecutar código sin requerir interacción del usuario. El problema se solucionó añadiendo una verificación de los datos de entrada.

La investigadora de Google Project Zero, Natalie Silvanovich, quien descubrió la vulnerabilidad, señaló que el ataque podría llevarse a cabo completamente sin la participación del usuario (zero-click), lo que lo hacía especialmente peligroso. La vulnerabilidad se activaba al usar la función de descifrado automático de mensajes de voz entrantes en Google Messages, si estaban habilitados los servicios RCS. Esta configuración está activada por defecto en los modelos Galaxy S23 y S24.

El problema residía en la función «saped_rec», que escribía datos en un búfer cuyo tamaño podía ser excedido si un archivo de audio especialmente diseñado tenía un valor elevado en «blocksperframe». Esto provocaba un desbordamiento de búfer y fallos en el proceso del códec multimedia.

El escenario hipotético del ataque consiste en enviar un archivo de audio malicioso a través de Google Messages, lo que provocaría un fallo del proceso («samsung.software.media.c2») en dispositivos con RCS habilitado.

La actualización de diciembre de Samsung también corrigió otra vulnerabilidad: CVE-2024-49413, relacionada con la aplicación SmartSwitch. Este error, con una puntuación CVSS de 7.1, permitía a atacantes locales instalar aplicaciones maliciosas debido a una verificación incorrecta de la firma criptográfica.