Outre des patchs de Google avec l'Android Security Bulletin de mai, Samsung a corrigé d'autres vulnérabilités de sécurité. L'une d'entre elles est critique et référencée CVE-2020-8899 avec un correctif idoine de Samsung via une mise à jour SVE-2020-16747.

À l'origine de la découverte, il y a un chercheur en sécurité Mateusz Jurczyk de Project Zero de Google. D'après lui, la vulnérabilité permettait une exploitation de code à distance dans un scénario de type zéro-clic (0-click ; sans une interaction de l'utilisateur) via MMS.

Le hacker souligne une vulnérabilité spécifique à du logiciel livré avec les appareils Android de Samsung et avec tous les smartphones Android de Samsung depuis fin 2014 / début 2015. Il a effectué des tests allant du Galaxy Note 4 au Galaxy Note 10+.

Le problème se situait au niveau du traitement des images au format Qmage (.qmg) par une bibliothèque graphique Skia d'Android. C'est ce format d'image personnalisé qui a commencé à être pris en charge sur les smartphones de Samsung fin 2014.

Pour le succès d'une attaque dans son scénario, Mateusz Jurczyk estime que 50 à 300 messages MMS devaient être envoyés à un smartphone pris pour cible avant de pouvoir contourner certaines mesures de sécurité intégrées dans Android. Une attaque qui prendrait de l'ordre de 100 minutes.

La vulnérabilité avait été portée à la connaissance de Samsung fin janvier dernier. Elle a été divulguée la semaine dernière.