8 let stará chyba v Samsungu mohla ohrozit miliony telefonů od Galaxy S9 po S25. Útočník dokázal převzít jádro systému

Bezpečnostní vrstva Samsung KNOX, která měla telefony chránit, sama otevřela cestu k úplnému ovládnutí zařízení. Samsung chybu nenápadně v lednu opravil.

Zdroj fotografie: Uživatel Jakub CA / Creative Commons / CC BY-SA

Galaxy S9 a S9+ šly do prodeje 16. března 2018. Lednový bezpečnostní balíček Samsungu, SMR Jan-2026 Release 1, vyšel až 6. ledna 2026. Mezi opravami se tehdy objevila i slabina v jádrové části platformy KNOX označená jako CVE-2026-20971, která umožňovala převzetí oprávnění až na úroveň jádra systému. Tedy tam, kde už neplatí prakticky žádná omezení: útočník s kernelovými právy může číst a měnit libovolná data, zasahovat do integrity celého systému nebo zařízení zcela ovládnout. Výzkumníci z LucidBit Labs potvrdili zasažení modelů od Galaxy S9 až po Galaxy S25, včetně řady A a obou čipových platforem, Exynos i Qualcomm. Samsung sám uvádí, že KNOX chrání přes miliardu mobilních zařízení po celém světě. Veřejně doložené případy skutečného zneužití zatím neexistují, potenciál zranitelnosti byl ale značný v řádech milionů zařízení.

Ochranný štít se stal vstupní branou

Jádro problému je paradoxní. Zranitelnost nesídlila v nějaké okrajové knihovně nebo zapomenuté funkci, ale přímo v subsystému FIVE/PROCA, tedy v proprietární bezpečnostní vrstvě, kterou Samsung přidal do jádra jako součást platformy KNOX. Právě ta měla ověřovat integritu aplikací a chránit uživatele.

Technicky šlo o chybu typu use-after-free. Handlery v souborovém systému /proc/pid/integrity/ pracovaly s ukazatelem na objekt task_integrity, aniž by správně udržovaly jeho reference. Při spuštění nového procesu pomocí execve() se starý objekt uvolnil z paměti, ale čtecí vlákno k němu stále mohlo přistupovat. Výsledkem bylo poškození paměti jádra, které mohlo vést k převzetí oprávnění.

A jak je možné, že chyba zůstala skrytá tak dlouho? Šlo o race condition, tedy závod mezi dvěma operacemi s extrémně úzkým časovým oknem. Její reprodukce vyžadovala specifické podmínky a hlubokou znalost interního kódu, který Samsung veřejně nedokumentuje. Běžné automatizované testování takovou chybu zpravidla neodhalí.

Koho se to týkalo a jak moc

LucidBit Labs ve svém rozboru uvádí otestované modely Galaxy S21, S22, S24 a A54, přičemž rozsah zasažení popisuje jako „naprostou většinu zařízení Samsung“ od Galaxy S9 po Galaxy S25. Samsung v lednovém bulletinu neuvádí kompletní seznam konkrétních modelů, pouze specifikuje zasažené verze Androidu 13, 14, 15 a 16.

Co to znamená prakticky:

• Zasažené generace: Galaxy S9 (2018) až Galaxy S25 (2025), včetně řady A
• Čipsety: Exynos i Qualcomm bez rozdílu
• Veřejně otestované modely: S21, S22, S24, A54
• Podmínka útoku: lokální přístup prostřednictvím nainstalované aplikace, bez další interakce uživatele
• Doložené zneužití v praxi: žádné

Národní databáze chyb NVD ohodnotila CVE-2026-20971 skóre CVSS 7,8 z 10, s vysokým dopadem na důvěrnost, integritu i dostupnost. Útočník nepotřeboval fyzický přístup k telefonu, stačila škodlivá aplikace s běžnými oprávněními. Žádné další klikání ani potvrzování. Jakmile aplikace běžela, mohla pokus o zneužití spustit sama.

Jak vážná chyba to byla ve srovnání s jinými

Samsung řeší bezpečnostní zranitelnosti pravidelně, ale ne všechny mají stejnou závažnost. Pro srovnání: v září 2025 firma opravila kritickou chybu CVE-2025-21043 v knihovně pro zpracování obrázků, u níž potvrdila aktivní zneužívání. Šlo o vzdáleně zneužitelnou chybu, kdy stačilo otevřít upravený soubor.

CVE-2026-20971 představuje jiný typ hrozby. Vyžaduje lokálně spuštěnou aplikaci, a proto je klasifikována jako High, nikoli Critical. Její dopad je ale mimořádný, protože zasahuje přímo do jádra systému, kde přestávají platit běžné bezpečnostní mechanismy. Rozsah potenciálně zasažených zařízení je navíc velmi široký.

Za zmínku stojí i to, že ve stejném lednovém bulletinu Samsung opravil další chybu typu use-after-free od stejného výzkumníka, CVE-2026-20968 v komponentě DualDAR. Leden 2026 tak nebyl jen o jedné izolované zranitelnosti, ale poukázal na širší problémy v některých bezpečnostních vrstvách platformy KNOX.

Co dělat, pokud máte Samsung

Klíčová otázka pro uživatele v Česku zní: máte nainstalovaný lednový bezpečnostní balíček z roku 2026? Ověřit to lze snadno:

• Otevřete Nastavení → O telefonu → Informace o softwaru
• Najděte položku „Verze bezpečnostního softwaru“, která by měla obsahovat SMR Jan-2026 Release 1 nebo novější
• Pokud ji nemáte, otevřete Nastavení → Aktualizace softwaru → Stáhnout a nainstalovat

Háček spočívá v distribuci aktualizací. Samsung uvádí, že rychlost doručení záplat se liší podle modelu, regionu i operátora. Starší telefony, které už nejsou v aktivní podpoře – což se může týkat například některých modelů z éry Galaxy S9 nebo S10 – už tuto opravu nemusí nikdy dostat. V takovém případě je nejdůležitější obranou neinstalovat aplikace z nedůvěryhodných zdrojů.

Celý případ LucidBit Labs připomíná jednu důležitou věc: ochranné mechanismy přidané do jádra systému nejsou automaticky jen výhodou. Zároveň představují novou potenciální útočnou plochu. Když selže bezpečnostní vrstva, která má systém chránit, mohou být následky závažnější, než kdyby vůbec neexistovala.