近期，一起針對(duì)三星海外版手機(jī)的重大安全漏洞引起了廣泛關(guān)注。據(jù)悉，該漏洞編號(hào)為CVE-2024-49415，屬于高風(fēng)險(xiǎn)內(nèi)存越界寫入（OBW）類型，其源頭指向了Monkey's Audio（APE）音頻解碼器組件libsaped.so。

問題的發(fā)現(xiàn)者是谷歌團(tuán)隊(duì)，他們?cè)贕alaxy S23和S24系列海外版手機(jī)中檢測(cè)到了這一隱患。這些手機(jī)預(yù)裝了Google Messages應(yīng)用，并且默認(rèn)啟用了RCS功能，這為黑客攻擊提供了可乘之機(jī)。具體而言，攻擊者只需通過其他設(shè)備向目標(biāo)手機(jī)發(fā)送特定格式的音頻文件，即可觸發(fā)libsaped.so組件的崩潰，進(jìn)而實(shí)現(xiàn)遠(yuǎn)程執(zhí)行任意代碼的操作。

值得慶幸的是，三星公司在今年9月就已經(jīng)收到了谷歌團(tuán)隊(duì)關(guān)于此漏洞的報(bào)告。在經(jīng)過一番努力后，三星于12月通過SMR Dec-2024 Release 1的安全補(bǔ)丁更新成功修復(fù)了這一問題。然而，盡管CVSS對(duì)該漏洞的風(fēng)險(xiǎn)評(píng)分僅為8.1，但三星公司卻將其視為“重大”級(jí)別，這可能與該漏洞無需用戶任何交互即可被觸發(fā)有關(guān)。

此次安全事件再次提醒我們，智能手機(jī)作為現(xiàn)代人生活中不可或缺的一部分，其安全性至關(guān)重要。一旦手機(jī)被黑客攻破，不僅個(gè)人隱私和財(cái)產(chǎn)安全面臨嚴(yán)重威脅，還可能被用于實(shí)施更大規(guī)模的網(wǎng)絡(luò)攻擊。因此，手機(jī)廠商應(yīng)不斷加強(qiáng)安全技術(shù)研發(fā)和更新，確保用戶數(shù)據(jù)的安全。