Специалисты Google Threat Analysis Group (TAG) обнаружили серьезную уязвимость нулевого дня в мобильных процессорах Samsung, которая уже активно эксплуатируется злоумышленниками. Данная проблема представляет значительную угрозу для безопасности устройств Android и требует пристального внимания как пользователей, так и специалистов по информационной безопасности.
Детали уязвимости CVE-2024-44068
Уязвимость, получившая идентификатор CVE-2024-44068, оценивается в 8,1 балла по шкале CVSS, что указывает на высокую степень опасности. Проблема классифицируется как уязвимость типа «use-after-free» и затрагивает драйвер m2m scaler в ряде мобильных и носимых процессоров Samsung Exynos, включая модели 9820, 9825, 980, 990, 850 и W920.
Механизм эксплуатации
Эксплуатация уязвимости позволяет злоумышленникам повысить привилегии на уязвимом устройстве Android. Технический анализ показывает, что проблема связана с некорректной обработкой счетчика page reference count для страниц PFNMAP при работе с виртуальной I/O памятью. Это открывает возможность для проведения атаки типа Kernel Space Mirroring Attack (KSMA), что в конечном итоге нарушает механизмы изоляции ядра Android.
Последствия и потенциальные угрозы
Эксперты TAG предупреждают, что данная уязвимость уже используется в реальных атаках как часть цепочки эксплойтов для повышения привилегий. Успешная эксплуатация позволяет выполнить произвольный код в привилегированном процессе cameraserver, что открывает широкие возможности для компрометации устройства. Особую озабоченность вызывает тот факт, что эксплойт также модифицирует имя процесса, вероятно, для усложнения обнаружения и анализа атаки.
Потенциальные векторы атак
Учитывая характер уязвимости и историю подобных обнаружений командой Google TAG, есть основания полагать, что CVE-2024-44068 может быть использована в целевых атаках, проводимых продвинутыми группами злоумышленников. Это включает потенциальное применение в шпионском ПО или операциях, спонсируемых государственными структурами.
Меры по снижению рисков
Для защиты от данной угрозы критически важно своевременное обновление программного обеспечения. Samsung выпустила патч в октябре 2024 года, и пользователям настоятельно рекомендуется установить последние обновления безопасности. Кроме того, организациям следует усилить мониторинг сетевой активности и поведения устройств на базе затронутых процессоров Samsung.
Обнаружение этой уязвимости подчеркивает важность постоянного совершенствования практик безопасной разработки и регулярного аудита кода, особенно в критически важных компонентах, таких как драйверы устройств. Производителям мобильных устройств и разработчикам ОС необходимо уделять повышенное внимание безопасности низкоуровневых компонентов, так как уязвимости в них могут иметь далеко идущие последствия для всей экосистемы.
