TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Mateusz Jurczyk นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ได้สาธิตการค้นพบช่องโหว่กับสมาร์ทโฟนจาก Samsung ซึ่งรองรับมาตั้งแต่ปี 2014 โดยปัจจุบันได้มีการแพตช์แล้ว จึงขอให้ผู้ใช้งานเร่งอัปเดต
ช่องโหว่ Zero-days มีหมายเลขอ้างอิงแล้วคือ CVE-2020-8899 ทั้งนี้เกิดขึ้นกับวิธีการจัดการรูปภาพแบบ Qmage (.qmg มีการรองรับตั้งแต่มือถือปี 2014) ที่ถูกดัดแปลงขึ้นของไลบรารี่ Skia โดย Jurczyk ชี้ว่าช่องโหว่สามารถถูกใช้ได้โดยไม่ต้องเกี่ยวข้องกับผู้ใช้งานเลย เนื่องจากแอนดรอยด์จะ Redirect ภาพทั้งหมดมาให้ไลบรารี่ประมวลผล เช่น Thumbnail Preview เป็นต้น
นอกจากนี้ยังได้สาธิตการโจมตีผ่าน MMS (วีดีโอด้านบน) ด้วยการเดาตำแหน่งของไลบรารี่ในหน่วยความจำของแอนดรอยด์เพื่อเอาชนะการป้องกันของ ASLR (Address Space Layout Randomization) อย่างไรก็ดีแม้ว่าการโจมตีจะมีการส่ง MMS จำนวนมากราว 50-300 ข้อความแต่ Jurczyk และกระบวนการโจมตีกินเวลากว่า 100 นาที แต่ Jurczyk กล่าวถึงเพิ่มเติมว่าตนได้พบวิธีการที่จะดัดแปลงให้ไม่เกิดการแจ้งเตือนเสียงบนแอนดรอยด์ด้วยที่ทำให้การโจมตีมีความแนบเนียนได้มากขึ้น
