Outre des patchs de Google avec l'Android Security Bulletin de mai, Samsung a corrigé d'autres vulnérabilités de sécurité. L'une d'entre elles est critique et référencée CVE-2020-8899 avec un correctif idoine de Samsung via une mise à jour SVE-2020-16747.
À l'origine de la découverte, il y a un chercheur en sécurité Mateusz Jurczyk de Project Zero de Google. D'après lui, la vulnérabilité permettait une exploitation de code à distance dans un scénario de type zéro-clic (0-click ; sans une interaction de l'utilisateur) via MMS.
Le hacker souligne une vulnérabilité spécifique à du logiciel livré avec les appareils Android de Samsung et avec tous les smartphones Android de Samsung depuis fin 2014 / début 2015. Il a effectué des tests allant du Galaxy Note 4 au Galaxy Note 10+.
Fixes for these bugs started rolling out with the May update, and Samsung officially addressed them as SVE-2020-16747 (https://t.co/UIHC201jnQ). For now, we have assigned CVE-2020-8899 collectively to all 5218 unique crashes we reported.
— j00ru//vx (@j00ru) May 6, 2020
Le problème se situait au niveau du traitement des images au format Qmage (.qmg) par une bibliothèque graphique Skia d'Android. C'est ce format d'image personnalisé qui a commencé à être pris en charge sur les smartphones de Samsung fin 2014.
Pour le succès d'une attaque dans son scénario, Mateusz Jurczyk estime que 50 à 300 messages MMS devaient être envoyés à un smartphone pris pour cible avant de pouvoir contourner certaines mesures de sécurité intégrées dans Android. Une attaque qui prendrait de l'ordre de 100 minutes.
La vulnérabilité avait été portée à la connaissance de Samsung fin janvier dernier. Elle a été divulguée la semaine dernière.