三星手機修補2014年起即存在的RCE漏洞

研究人員發現，三星手機含有重大遠端程式碼執行（RCE）漏洞，三星上周釋出安全更新，呼籲使用者儘速安裝。

這項漏洞是由Google抓蟲小組Project Zero 研究人員Mateusz Jurczyk 發現。他發現三星手機中由第三方廠商Quramsoft開發的Qmage格式的codec中，存在記憶體覆寫（memory overwrite）漏洞，可讓駭客由外部傳送包含圖片的訊息，造成記憶體毁損，並取得App執行權限，或遠端執行惡意程式碼。

而該漏洞之所以讓三星Android手機曝露在風險中，是因為Android將所有影像都悄悄傳到Skia函式庫處理，像是產生預覽圖示。研究人員相信這個特性，加上Qmage的漏洞，形成Android上無需互動（即零點擊）的遠端攻擊面。

根據Jurczyk 測試，Samsung Messages App可以在不用任何用戶點擊動作下，處理外面傳入的MMS訊息，這讓駭客有機會開採這項漏洞，成功讀取手機通話紀錄、聯絡人、儲存、簡訊等。理論上，受害者只要手機預覽通知訊息，就會攻擊。

從2014年（Android 4.4.4）的Galaxy 8、到今年推出的（Android 10.0）Galaxy Note 10+的三星智慧型手機，都受到這個漏洞影響。該漏洞被列為重大風險，所幸根據研究人員以MMS訊息進行測試，攻擊者必須傳送50到300則訊息，平均約花上100分鐘，才能完成攻擊。

在一月接獲Google通知後，三星已在日前發布更新程式，完成包含本漏洞及其他8個重大風險，及20多個重要風險漏洞的修補，也呼籲用戶更新軟體。

Google Project Zero也在本月初公布iOS存在類似的零點擊攻擊漏洞。在Google通知下，蘋果已提早完成修補。