Uma grave vulnerabilidade foi identificada no decodificador de áudio Monkey’s Audio (APE) em smartphones Samsung, permitindo que invasores executassem códigos remotamente sem interação do usuário. A falha, registrada como CVE-2024-49415, apresentava uma pontuação de gravidade de 8.1 no sistema CVSS e afetava dispositivos com Android 12, 13 e 14. O problema foi corrigido pela Samsung em dezembro de 2024.

Segundo o relatório da pesquisadora Natalie Silvanovich, do Google Project Zero, a vulnerabilidade está na biblioteca libsaped.so, usada pelo sistema para decodificar mensagens de áudio recebidas no aplicativo Google Messages configurado com o serviço de comunicação RCS. Por ser o padrão em dispositivos como Galaxy S23 e S24, muitos usuários estavam potencialmente expostos.

A falha ocorre devido à possibilidade de gravação fora dos limites no buffer DMA, que possui tamanho fixo. Em certas condições, arquivos de áudio maliciosos podem fazer com que o sistema tente gravar até três vezes o tamanho permitido. Isso cria um risco de estouro de buffer, resultando no travamento do processo de mídia ou na execução de código arbitrário.

Em um cenário de ataque, invasores poderiam enviar mensagens de áudio manipuladas para explorar a falha e comprometer dispositivos com RCS ativado. A Samsung informou que a atualização de dezembro incluiu validações adicionais para impedir a exploração desse problema. Além disso, a mesma atualização corrigiu outra vulnerabilidade grave, CVE-2024-49413, no aplicativo SmartSwitch. Essa falha permitia que atacantes locais instalassem aplicativos maliciosos devido à verificação inadequada de assinaturas criptográficas. Ambas as correções foram classificadas como prioritárias para garantir a segurança dos usuários.