近期，谷歌Project Zero安全研究團隊公開披露了一項針對三星海外版手機的高危安全漏洞，漏洞編號為CVE-2024-49415。此漏洞存在于三星手機內(nèi)置的Monkey's Audio（APE）音頻解碼器組件libsaped.so中，性質(zhì)為內(nèi)存越界寫入（OBW），其潛在危害不容小覷。

據(jù)詳細報告顯示，谷歌團隊在Galaxy S23及S24系列的海外版手機中發(fā)現(xiàn)了這一安全缺陷。這些手機預(yù)裝了Google Messages應(yīng)用，并且默認(rèn)啟用了RCS（富通信套件）功能。攻擊者能夠利用這一漏洞，通過向目標(biāo)手機發(fā)送特定的音頻文件，遠程觸發(fā)libsaped.so組件崩潰，進而實現(xiàn)任意代碼的遠程執(zhí)行。這種攻擊方式無需用戶進行任何交互操作，極大地增加了其隱蔽性和危害性。

面對這一嚴(yán)重安全威脅，三星公司在今年9月即已接到谷歌團隊的報告，并迅速采取行動。在同年12月，三星通過發(fā)布SMR Dec-2024 Release 1安全補丁更新，成功修復(fù)了這一漏洞，從而避免了潛在的安全風(fēng)險。

值得注意的是，盡管CVE-2024-49415的CVSS風(fēng)險評分僅為8.1，但三星公司仍將其評定為“重大”級別。這一決策背后，反映出該漏洞無需用戶干預(yù)即可被觸發(fā)的高危特性，以及三星對于用戶數(shù)據(jù)安全的高度重視。

此次安全漏洞的披露和修復(fù)過程，再次提醒了智能手機用戶及廠商關(guān)于移動設(shè)備安全性的重要性。隨著移動互聯(lián)網(wǎng)的普及和智能設(shè)備的廣泛應(yīng)用，保障用戶數(shù)據(jù)安全已成為行業(yè)共同面臨的重大課題。三星和谷歌等企業(yè)的迅速響應(yīng)和積極應(yīng)對，無疑為行業(yè)樹立了良好的榜樣。