近期，谷歌Project Zero安全研究團(tuán)隊(duì)公開披露了一項(xiàng)針對(duì)三星海外版手機(jī)的高危安全漏洞，漏洞編號(hào)為CVE-2024-49415。此漏洞存在于三星手機(jī)內(nèi)置的Monkey's Audio（APE）音頻解碼器組件libsaped.so中，性質(zhì)為內(nèi)存越界寫入（OBW），其潛在危害不容小覷。

據(jù)詳細(xì)報(bào)告顯示，谷歌團(tuán)隊(duì)在Galaxy S23及S24系列的海外版手機(jī)中發(fā)現(xiàn)了這一安全缺陷。這些手機(jī)預(yù)裝了Google Messages應(yīng)用，并且默認(rèn)啟用了RCS（富通信套件）功能。攻擊者能夠利用這一漏洞，通過向目標(biāo)手機(jī)發(fā)送特定的音頻文件，遠(yuǎn)程觸發(fā)libsaped.so組件崩潰，進(jìn)而實(shí)現(xiàn)任意代碼的遠(yuǎn)程執(zhí)行。這種攻擊方式無需用戶進(jìn)行任何交互操作，極大地增加了其隱蔽性和危害性。

面對(duì)這一嚴(yán)重安全威脅，三星公司在今年9月即已接到谷歌團(tuán)隊(duì)的報(bào)告，并迅速采取行動(dòng)。在同年12月，三星通過發(fā)布SMR Dec-2024 Release 1安全補(bǔ)丁更新，成功修復(fù)了這一漏洞，從而避免了潛在的安全風(fēng)險(xiǎn)。

值得注意的是，盡管CVE-2024-49415的CVSS風(fēng)險(xiǎn)評(píng)分僅為8.1，但三星公司仍將其評(píng)定為“重大”級(jí)別。這一決策背后，反映出該漏洞無需用戶干預(yù)即可被觸發(fā)的高危特性，以及三星對(duì)于用戶數(shù)據(jù)安全的高度重視。

此次安全漏洞的披露和修復(fù)過程，再次提醒了智能手機(jī)用戶及廠商關(guān)于移動(dòng)設(shè)備安全性的重要性。隨著移動(dòng)互聯(lián)網(wǎng)的普及和智能設(shè)備的廣泛應(yīng)用，保障用戶數(shù)據(jù)安全已成為行業(yè)共同面臨的重大課題。三星和谷歌等企業(yè)的迅速響應(yīng)和積極應(yīng)對(duì)，無疑為行業(yè)樹立了良好的榜樣。