Millions on Android Devices Exposed by Unpatched Apple Lossless Codec Flaw: Researchers

Миллионы пользователей Android-устройств обнаружили неисправленную уязвимость кодека Apple Lossless: исследователи

Исследователи безопасности обнаружили уязвимости в аудиокодеке, в результате чего миллионы телефонов Android и других устройств Android на базе чипсетов MediaTek и Qualcomm подвергаются риску взлома хакерами. Основанные на кодеке, созданном Apple несколько лет назад, уязвимости остались неисправленными, поскольку 11 лет назад компания открыла исходный код кодека для включения в устройства, не принадлежащие Apple. По словам исследователей, используя бреши в системе безопасности, злоумышленник может удаленно получить доступ к медиафайлам и аудиоразговорам на Android-телефоне.

Согласно отчет По данным исследователей Check Point Research, уязвимость в кодеке Apple Lossless Audio Codec (ALAC) от Apple позволяет злоумышленнику выполнить атаку удаленного выполнения кода (RCE) на целевом смартфоне после отправки искаженного аудиофайла. Атака RCE может позволить злоумышленнику получить контроль над мультимедиа на телефоне, включая потоковое видео с камер, доступ к мультимедиа и разговорам пользователей.

Уязвимости безопасности были обнаружены в кодеке ALAC от Apple, исходный код которого был открыт компанией в 2011 году, что позволяет устройствам, не принадлежащим Apple, передавать музыку с качеством «без потерь» с использованием ранее проприетарного кодека Apple. Однако, по словам исследователей, в то время как Apple исправила проприетарную версию кодека ALAC, версия с открытым исходным кодом осталась без изменений.

В результате Qualcomm и MediaTek, производители чипсетов, перенесли уязвимый кодек ALAC на свои аудиодекодеры, в результате чего более двух третей всех смартфонов, проданных в 2021 году, оказались уязвимыми для недостатков безопасности, получивших название «ALHACK», по словам исследователей. Уязвимости были ответственно раскрыты Qualcomm и MediaTek, которые признали наличие проблем и присвоили уязвимостям общие уязвимости и риски (CVE). MediaTek назначен CVE-2021-0674 и CVE-2021-0675 (с оценками «Средний» и «Высокий» соответственно), а Qualcomm присвоила CVE-2021-30351 (с критической оценкой 9,8 из 10) недостатков ALAC перед их исправлением.

По словам исследователей, обе компании выпустили исправления для недостатков, включенных в декабрь 2021 г. Бюллетень по безопасности Android, что означает, что пользователи смартфонов, на которые были установлены декабрьские исправления безопасности, должны быть защищены от уязвимостей. Однако это исключает миллионы пользователей, использующих устаревшее программное обеспечение, или пользователей, которые получают ошибочные обновления безопасности, что подвергает их риску взлома злоумышленниками.



Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *