Cabecera blog ciberseguridad

CVE-2024-58101

CVSS v4.0 Score: 8.7 / High

 

Los dispositivos de audio de Samsung son emparejables vía Bluetooth por defecto, sin necesidad de interacción del usuario ni opción para desactivar este modo.

Vendor: Samsung
Products: Galaxy Buds, Galaxy Buds 2
Discovered by: Antonio Vázquez Blanco (@antonvblanco), Jesús María Gómez Moreno
Public fix: No
Proof of Concept: https://github.com/TarlogicSecurity/BlueSpy

 

Resumen:

Los auriculares Samsung Galaxy Buds y Galaxy Buds 2 son dispositivos que, por defecto, se pueden emparejar sin requerir interacción del usuario ni disponer de un mecanismo para evitarlo.

 

Detalles:

Los dispositivos no cumplen con los siguientes controles BSAM:

  • BSAM-PA-01 – Modo emparejable por defecto
  • BSAM-PA-02 – Capacidades de entrada y salida
  • BSAM-PA-04 – Rechazo del emparejamiento heredado
  • BSAM-PA-05 – Emparejamiento sin interacción del usuario

Impacto:

Esto permite el emparejamiento del dispositivo sin el consentimiento ni la notificación del usuario, lo que posibilita tomar el control total del dispositivo.
Como consecuencia, se puede lograr la toma del control de la reproducción de audio o incluso la grabación mediante el micrófono, sin que el usuario lo consienta o sea notificado.

 

Recomendación:

No se conocen soluciones para el problema.

 

Cronología:

  • 2024/03/15 – Reporte inicial del problema a través de la plataforma de Seguridad Móvil de Samsung.
  • 2024/03/21 – Samsung solicitó tickets separados para cada uno de los hallazgos y el reporte se cerró como «working as intended».
  • 2024/03/22 – Se crearon tres reportes separados respecto a los problemas más destacados.
  • 2024/03/29 – Samsung sugiere cerrar el ticket referente a BSAM-PA-01 como “funcionando según lo previsto”. Se presentan argumentos en contra.
  • 2024/06/21 – Se acuerda mantener abierto el reporte referente a BSAM-PA-01 por tener cierto impacto en la seguridad. Se solicita a Samsung la asignación de un CVE.
  • 2024/06/27 – El reporte referente a BSAM-PA-02 se cierra como “Sin Impacto en la Seguridad” y se marca como “Fuera de alcance” para su programa de recompensas.
  • 2024/06/27 -El reporte referente a BSAM-PA-05 se cierra como “Sin Impacto en la Seguridad” y se marca también como “Fuera de alcance” para su programa de recompensas.
  • 2024/06/24 – El reporte referente a BSAM-PA-01 se clasifica como de “Baja severidad”, a la vez que se concluye que “su impacto en la seguridad es inferior al nivel bajo”.
  • 2024/06/24 – La solicitud de CVE es denegada bajo el argumento de que sólo se asignan CVE a vulnerabilidades de impacto moderado o superior.
  • 2024/11/05 – Samsung notifica que el reporte referente a BSAM-PA-01 ha sido premiado con una recompensa.
  • 2025/01/27 – Se efectúa el pago de la recompensa.
  • 2025/02/10 – Se solicita a MITRE la asignación de un CVE.
  • 2025/03/12 – Se asigna el CVE-2024-58101.
  • 2025/03/20 – Se hace público el aviso.