Исследователи безопасности обнаружили недостатки безопасности в аудиокодеке, из-за чего миллионы телефонов Android и других устройств Android, работающих на чипсетах от MediaTek и Qualcomm, могут быть скомпрометированы хакерами. Уязвимости, связанные с кодеком, созданным Apple несколько лет назад, остались не исправленными с тех пор, как 11 лет назад компания открыла исходный кодек для включения на устройствах, отличных от Apple. По словам исследователей, используя недостатки в системе безопасности, злоумышленник может удаленно получить доступ к средствам массовой информации и аудиозаписям телефона Android.
Согласно отчету исследователей Check Point Research, недостаток в аудиокодеке Apple без потерь (ALAC) от Apple позволяет злоумышленнику выполнить атаку удаленного выполнения кода (RCE) на целевой смартфон после отправки искаженного аудиофайла. Атака RCE может позволить злоумышленнику получить контроль над мультимедиа на телефоне, включая потоковое видео с камер, доступ к МУЛЬТИМЕДИА и разговоры пользователей.
Недостатки безопасности были обнаружены в кодеке Apple ALAC, который был выпущен компанией с открытым исходным кодом в 2011 году, что позволяет устройствам, не принадлежащим Apple, транслировать музыку в качестве «без потерь», используя ранее проприетарный кодек Apple. Однако, по словам исследователей, в то время как Apple исправила проприетарную версию кодека ALAC, версия с открытым исходным кодом осталась непатченной.
- Google Удаляет шесть зараженных Sharkbot приложений, выдающих себя за Антивирусные приложения
В результате Qualcomm и MediaTek, производители чипсетов, которые портировали уязвимый кодек ALAC на свои аудиодекодеры, в результате чего более двух третей всех смартфонов, проданных в 2021 году, оказались уязвимыми к недостаткам безопасности, получившим название “ALHACK”, по словам исследователей. Уязвимости были ответственно раскрыты Qualcomm и MediaTek, которые признали проблемы и назначили Общие уязвимости и уязвимости (CVE) для недостатков. MediaTek присвоила CVE-2021-0674 и CVE-2021-0675 (со «Средним» и «Высоким» рейтингом соответственно), в то время как Qualcomm присвоила CVE-2021-30351 (с «Критическим» рейтингом 9,8 из 10) для недостатков ALAC, прежде чем исправлять их.
- Вредоносная Программа Для Android, Которая Может Записывать Аудио, Отслеживать Обнаруженное Местоположение
По словам исследователей, обе компании выпустили исправления для недостатков, включенных в бюллетень безопасности Android за декабрь 2021 года, что означает, что пользователи со смартфонами, получившие декабрьские исправления безопасности, должны быть защищены от уязвимостей. Однако это оставляет без внимания миллионы пользователей, использующих устаревшее программное обеспечение, или пользователей, которые получают ошибочные обновления безопасности, что подвергает их риску быть скомпрометированными злоумышленниками.