Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8.

Autor: 4 min czytania

Luka CVE-2026-20971 mogła zostać wykorzystana poprzez interakcję pomiędzy PROCA i FIVE. PROCA to mechanizm uwierzytelniania procesów zachodzących w podsystemach jądra urządzeń Samsung. Weryfikuje on autentyczność procesów przy użyciu FIVE – podsystemu integralności działającego po stronie jądra, opartego na modelu Linux Integrity Measurement i rozszerzonego przez Samsung.

FIVE śledzi poziom zaufania do każdego uruchomionego procesu, wykorzystując obiekt task_integrity, który przechowuje informacje o stanie jego bezpieczeństwa. Jeśli proces ulega zmianie – na przykład tworzy proces potomny, a ten wywołuje execve() – tworzona jest nowa struktura integralności, a stara zostaje usunięta. Teoretycznie powinno to następować natychmiast. Problem pojawia się jednak w działającym pod spodem preemptive kernel (jądrze z wywłaszczaniem), stosowanym w Androidzie. W efekcie powstaje bardzo krótkie okno czasowe, mogące prowadzić do klasycznej podatności typu use-after-free (UAF), czyli użycia pamięci po jej zwolnieniu.

Ze względu na działanie wywłaszczającego jądra wątek może zostać wstrzymany pomiędzy odczytaniem wskaźnika a jego użyciem. Jak wyjaśniają badacze z LucidBit Labs, którzy odkryli lukę:

„Docelowy proces wykonuje execve(), a konkretnie task_integrity_put(old_tint), co powoduje zwolnienie oryginalnej struktury. Następnie proc_integrity_value_read() wznawia działanie i wywołuje task_integrity_user_read() z użyciem wskaźnika do już zwolnionej pamięci”.

Specjaliści nie twierdzą, że wykorzystanie tej podatności było łatwe – jedynie, że było możliwe. Wbudowany mechanizm Kernel Control Flow Integrity (KCFI) czynił eksploatację niezwykle trudną. Nie eliminował on samego błędu UAF, ale skutecznie blokował możliwość wykonywania dowolnych wywołań funkcji, co jest najgroźniejszą ścieżką ataku.

Mimo to badacze znaleźli sposób na wykorzystanie luki. Udało im się nakłonić proces do „załadowania” pliku, którego nie można było wykonać – czyli niebędącego plikiem ELF.

LucidBit Labs znalazło więc skuteczną metodę wykorzystania błędu. Według badaczy podatność mogła zostać uruchomiona przez niezaufaną aplikację i prowadzić do uszkodzenia pamięci jądra systemu, potencjalnie otwierając atakującemu drogę do większej kontroli nad urządzeniem.

Problem zgłoszono Samsungowi, a firma usunęła go w aktualizacji ze stycznia 2026 roku. Luka występowała w wielu generacjach urządzeń Samsung, w tym w modelach Galaxy S9–S25, urządzeniach serii A oraz modelach wyposażonych zarówno w procesory Exynos, jak i Qualcomm. Według komunikatu producenta podatne były wersje Androida 13, 14, 15 i 16.

Samsung poinformował:

„Nieprawidłowa walidacja danych wejściowych w SecSettings przed wydaniem SMR Jan-2026 Release 1 umożliwia lokalnemu atakującemu uzyskanie dostępu do plików z uprawnieniami systemowymi. Do wykorzystania podatności wymagana jest interakcja użytkownika”.

Na pierwszy rzut oka podatność była wykorzystywana wyłącznie lokalnie, co mogłoby sugerować ograniczone ryzyko. Chodzi jednak o interakcję użytkownika, a niekoniecznie prawowitego właściciela urządzenia. Niewielu jest użytkowników smartfonów, którzy nigdy nie zgubili telefonu, choćby na jeden dzień, by później go odnaleźć. Zwykle zakładamy, że po prostu zapomnieliśmy, gdzie go zostawiliśmy – ale nie mamy pewności, gdzie przez ten czas urządzenie faktycznie się znajdowało ani kto mógł mieć do niego dostęp.

W szerszym ekosystemie cyberprzestępczym zdobycie zdalnego dostępu do stale podłączonego urządzenia jest powszechną praktyką. Atakujący dysponują wieloma sposobami obejścia ograniczeń związanych z lokalnym charakterem podatności. Gdyby luka pozwoliła na przejęcie kontroli nad służbowym urządzeniem mobilnym pracownika, mogłaby posłużyć jako punkt wyjścia do dalszego ataku na sieć przedsiębiorstwa. Choć Samsung usunął problem już  w styczniu, warto upewnić się, że nasze urządzenie zostało zaktualizowane.