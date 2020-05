Samsung è una delle poche azienda ad essere estremamente puntale per quanto riguarda il rilascio delle patch di sicurezza mensili. Infatti, da diverso tempo a questa parte, anticipa addirittura Google, da sempre al top per quanto riguarda il timing di rilascio di questi importanti aggiornamenti di sicurezza.

Il 29 aprile scorso la compagnia sud coreana rendeva pubbliche le patch di sicurezza di maggio 2020 per l’intera gamma Samsung Galaxy S20, Samsung Galaxy Z Flip e Samsung Galaxy Fold. Fra le varie correzioni presenti all’interno dell’aggiornamento di sicurezza di cui potete scoprirne il dettaglio nella nostra news, Samsung ha finalmente corretto un bug critico risalente al 2014.

Samsung corregge un bug del 2014

Etichettato come SVE-2020-16747, il bug in questione intaccava il modo in cui la versione personalizzata di Android andava a gestire il formato d’immagine .qmg (Qmage). Questo, sviluppato dall’azienda sud coreana Quramsoft, è presente all’interno di tutti gli smartphone Samsung ed utilizzato anche all’interno di Samsung Themes.

Come viene spiegato da Mateusz Jurczyk, esperto di sicurezza e componente del team Project Zero di Google, la falla in questione era di tipo “zero click“, ovvero che non richiede nessun input da parte dell’utente che di fatto resta del tutto ignaro di ciò che avviene sul telefono, e del tutto simile a quelle che intaccavano tutti i sistemi operativi sviluppati da Apple.

Senza entrare troppo nel dettaglio, Jurczyk era riuscito ad individuare come la libreria grafica di Android, Skia, fosse in grado di gestire i file immagine in formato .qmg. Tramite una serie di tentativi volti a bypassare il sistema ASLR (Address Space Layout Randomization) di Android, lo sviluppatore era riuscito ad inviare un messaggio MMS contenente un file Qmage in grado di eseguire del codice malevolo.

Fortunatamente Samsung ha (finalmente) corretto il bug rendendo così impossibile l’esecuzione di codice arbitrario sfruttando la falla relativa al file di immagine .qmg. Il nostro consiglio è quello di procedere ad installare immediatamente gli aggiornamenti di sicurezza di maggio 2020 non appena questi saranno disponibili per il vostro smartphone.

Per chi è appassionato di questo genere di argomenti di discussione, nel video qui in basso è possibile vedere la falla di sicurezza in azione.