Эксперты команды Google Project Zero обнаружили критическую уязвимость, которая угрожала устройствам Samsung c 2014 года. Уязвимость имеет идентификатор SVE-2020-16747 в бюллетене безопасности Samsung, а также идентификатор CVE-2020-8899 по классификации Mite CVE. Корень проблемы заключается в том, как версия Android, работающая на устройствах Samsung, обрабатывает формат изображений Qmage (.qmg), который смартфоны Samsung начали поддерживать шесть лет назад. Исследователи нашли способ, позволяющий использовать Skia (графическая библиотека Android, которая обрабатывает изображения Qmage) для вредоносной активности. Эксплуатация бага не требовала какого-либо взаимодействия с пользователем, так как Android перенаправляет все полученные изображения Qmage библиотеке Skia для обработки (например, для создания миниатюр предварительного просмотра) и делает это без ведома пользователя.­ Специалисты продемонстрировали proof-of-concept­ эксплуатации бага на примере приложения Samsung Messages, которое установлено на всех смартфонах Samsung «из коробки» и используется для работы с SMS- и MMS- сообщениями. Впрочем, теоретически возможна эксплуатация и через любое другое приложение, работающее на телефоне Samsung, если оно способно получать изображения Qmage от удаленного злоумышленника. Для использования уязвимости эксперты отправляли на устройство MMS-сообщения, каждое из которых пыталось опередить местоположение библиотеки Skia в памяти телефона, что необходимо для обхода защиты Android ASLR. Как только библиотека Skia обнаруживалась, последнее MMS-сообщение доставляло на устройство пейлоад в формате изображения Qmage, посредством которого на устройстве выполнялся код атакующего. В среднем на такую атаку уходит от 50 до 300 MMS-сообщений для обнаружения Skia и обхода ASLR, и занимает это приблизительно 100 минут. Хотя на первый взгляд такая атака кажется весьма «шумной» и явно привлечет внимание пользователя, исследователям удалось найти способы полного отключения звука уведомлений для MMS-сообщений, что делает атаку скрытой и более опасной. Эксперты Google Project Zero обнаружили уязвимость в феврале текущего года и немедленно сообщили о ней инженерам Samsung. В настоящее время южнокорейский производитель уже исправил проблему: патч вошел в состав обновлений безопасности за май 2020 года.