Samsung закрыла уязвимость CVE-2026-20971 в своём защитном стеке Knox. Ошибка оказалась неприятной из-за места, где находилась: в компоненте, который должен помогать проверять целостность процессов и усложнять атаки на устройство. Уязвимость получила оценку CVSS 7.8.
Баг нашли исследователи LucidBit Labs. Они разобрали взаимодействие двух подсистем Samsung — PROCA и FIVE. PROCA, или Process Authenticator, проверяет подлинность процессов. FIVE отвечает за проверку целостности на стороне ядра. В нормальной ситуации эти механизмы должны следить, что в системе выполняется именно тот код, который ожидает устройство, а не подменённый процесс.
В классификации это Use After Free — ошибка обращения к памяти после её освобождения. На практике такой класс уязвимостей опасен тем, что программа продолжает работать с объектом, которого уже не должно быть. Если атакующий успевает занять освобождённый участок памяти своими данными, поведение системы можно попытаться направить в нужную сторону.
В случае Samsung Knox всё упиралось в состояние процесса и объект task_integrity. FIVE хранит в нём информацию о доверии к запущенному процессу. Когда процесс меняет состояние, например вызывает execve() для запуска нового файла, старый объект целостности удаляется, а вместо него создаётся новый.
Сценарий выглядит так: один поток успевает взять указатель на объект целостности, затем временно останавливается, другой код освобождает старую структуру, после чего первый поток продолжает выполнение и обращается уже к освобождённой памяти. Это и есть гонка: результат зависит от точного порядка операций и микроскопического окна по времени.
Samsung исправила ошибку в январском пакете обновлений SMR Jan-2026 Release 1. В бюллетене производителя уязвимость указана как SVE-2025-2103 / CVE-2026-20971. Затронуты устройства на Android 13, 14, 15 и 16 до установки январского исправления. В карточке NVD уязвимость получила оценку 7.8 по CVSS 3.1, уровень High. Samsung Mobile как CNA указывает 7.3 по CVSS 4.0.
Список устройств широкий. Исследователи и профильные издания указывают, что проблема затрагивала несколько поколений Galaxy: от Galaxy S9 до Galaxy S25, часть устройств A-серии, модели на Exynos и Qualcomm.
LucidBit Labs отдельно подчёркивает сложность эксплуатации. Окно гонки было очень узким — поток нужно было остановить в момент, который измеряется буквально несколькими машинными инструкциями. Дополнительным барьером выступала KCFI — защита целостности потока управления в ядре. Она не убирала сам Use After Free, но мешала подменить указатель функции на произвольный адрес и выполнить всё, что хочется атакующему.
Исследователи всё же нашли рабочие примитивы. Один из них давал утечку данных из памяти, другой упирался в ограничения KCFI, третий был связан с чтением метки целостности. В отчёте описан интересный приём с /system/bin/monkey: этот файл есть на тестовых устройствах, выглядит как исполняемый системный файл, но не является ELF-файлом и не содержит строки интерпретатора. Попытка запуска через execve() приводит к ошибке выполнения и меняет состояние reset file так, что дальнейшая эксплуатационная цепочка становится реалистичнее.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
