你是否拥有2014年以后售出的三星设备,想知道原因?你的设备上有qmg文件吗?嗯,这是一个严重的漏洞(代号为SVE-2020-16747),黑客可以利用你的设备进入这个漏洞。现在,韩国电子巨头终于解决了这个问题,这是由谷歌“漏洞零”项目漏洞调查小组的安全研究员Mateusz Jurczyk提出的。他找到了一个使用Android图形库的方法——Skia以及如何处理Qmage图片(。qmg文件)。
2020年2月,发现了一个可以在用户不知情的情况下运行的远程执行(RCE)错误。SamsungMessages应用程序提供图像文件,这些文件被重定向到Skia库,在那里可以通过这些文件显示库的位置。大约需要300条彩信才能检测并绕过Android的地址空间布局随机化(ASLR)保护。
之后,黑客可以执行所需的代码来访问重要信息,包括通话记录、联系人、麦克风、存储或短信。Mateusz告诉ZNet:“在报告崩溃后,我花了几周时间研究其中一个漏洞的0-click MMS概念证明。我通过运行Android 10的三星Galaxy Note 10手机成功实现了这个目标。”他还补充说,他可以在不触发通知声音的情况下执行MMS消息,这是一种获得设备访问权限的有效方法。
该漏洞只影响三星设备,因为它们是唯一一批调整其库存Android设备以支持韩国公司Quramsoft开发的Qmage格式的设备。三星已经承认了该漏洞,并将在5月的安全更新中推出该补丁。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 puzdycom@126.com 举报,一经查实,本站将立刻删除。
