Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² ALAC-Π΄Π΅ΠΎΠΊΠ΄ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊΠ°Ρ… MediaTek and Qualcomm, Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‰Π°Ρ Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎ Android-устройств

Компания Check Point выявила ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅ΠΌΡ‹Ρ… компаниями MediaTek (CVE-2021-0674, CVE-2021-0675) ΠΈ Qualcomm (CVE-2021-30351) Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊΠ°Ρ… Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π° сТатия Π·Π²ΡƒΠΊΠ° ALAC (Apple Lossless Audio Codec). ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° позволяСт Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΠΊΠΎΠ΄ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅Π³ΠΎ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΎΡ„ΠΎΡ€ΠΌΠ»Π΅Π½Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ ALAC.

ΠžΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ уязвимости усугубляСтся Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½Π° Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ устройства ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Android, оснащённыС Ρ‡ΠΈΠΏΠ°ΠΌΠΈ MediaTek ΠΈ Qualcomm. Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ Π°Ρ‚Π°ΠΊΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ врСдоносного ПО Π½Π° устройствС, ΠΈΠΌΠ΅ΡŽΡ‰Π΅Π³ΠΎ доступ ΠΊ ΠΎΠ±Ρ‰Π΅Π½ΠΈΡŽ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΈ ΠΌΡƒΠ»ΡŒΡ‚ΠΈΠΌΠ΅Π΄ΠΈΠΉΠ½Ρ‹ΠΌ Π΄Π°Π½Π½Ρ‹ΠΌ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π΄Π°Π½Π½Ρ‹Π΅ с ΠΊΠ°ΠΌΠ΅Ρ€Ρ‹. По ΠΏΡ€ΠΈΠ±Π»ΠΈΠ·ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΎΡ†Π΅Π½ΠΊΠ΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Ρ‹ 2/3 всСх ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ смартфонов Π½Π° Π±Π°Π·Π΅ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Android. НапримСр, Π² БША общая доля всСх ΠΏΡ€ΠΎΠ΄Π°Π½Π½Ρ‹Ρ… Π² 4 ΠΊΠ²Π°Ρ€Ρ‚Π°Π»Π΅ 2021 Π³ΠΎΠ΄Π° Android-смартфонов, поставляСмых с Ρ‡ΠΈΠΏΠ°ΠΌΠΈ MediaTek and Qualcomm, составила 95.1% (48.1% — MediaTek, 47% — Qualcomm).

Π”Π΅Ρ‚Π°Π»ΠΈ эксплуатации уязвимости ΠΏΠΎΠΊΠ° Π½Π΅ Ρ€Π°ΡΠΊΡ€Ρ‹Π²Π°ΡŽΡ‚ΡΡ, Π½ΠΎ сообщаСтся, Ρ‡Ρ‚ΠΎ Π² ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹ MediaTek ΠΈ Qualcomm для ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Android исправлСния Π±Ρ‹Π»ΠΈ внСсСны Π² Π΄Π΅ΠΊΠ°Π±Ρ€Π΅ 2021 Π³ΠΎΠ΄Π°. Π’ Π΄Π΅ΠΊΠ°Π±Ρ€ΡŒΡΠΊΠΎΠΌ ΠΎΡ‚Ρ‡Ρ‘Ρ‚Π΅ ΠΎΠ± уязвимостях Π² ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ΅ Android ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ ΠΎΡ‚ΠΌΠ΅Ρ‡Π΅Π½Ρ‹ ΠΊΠ°ΠΊ критичСскиС уязвимости Π² Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°Ρ… для Ρ‡ΠΈΠΏΠΎΠ² Qualcomm. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°Ρ… MediaTek Π² ΠΎΡ‚Ρ‡Ρ‘Ρ‚Π°Ρ… Π½Π΅ упоминаСтся.

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ интСрСсна своими корнями. Π’ 2011 Π³ΠΎΠ΄Ρƒ компания Apple ΠΎΡ‚ΠΊΡ€Ρ‹Π»Π° ΠΏΠΎΠ΄ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠ΅ΠΉ Apache 2.0 исходныС тСксты ΠΊΠΎΠ΄Π΅ΠΊΠ° ALAC, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅Π³ΠΎ ΡΠΆΠΈΠΌΠ°Ρ‚ΡŒ Π·Π²ΡƒΠΊΠΎΠ²Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ Π±Π΅Π· ΠΏΠΎΡ‚Π΅Ρ€ΠΈ качСства, прСдоставила Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования всСх связанных с ΠΊΠΎΠ΄Π΅ΠΊΠΎΠΌ ΠΏΠ°Ρ‚Π΅Π½Ρ‚ΠΎΠ². Код Π±Ρ‹Π» ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½, Π½ΠΎ оставлСн Π±Π΅Π· сопровоТдСния ΠΈ Π½Π΅ мСнялся Π·Π° послСдниС 11 Π»Π΅Ρ‚. ΠŸΡ€ΠΈ этом компания Apple ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°Π»Π° ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Ρ‚ΡŒ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΡŽ, ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΠ΅ΠΌΡƒΡŽ Π² своих ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ°Ρ…, ΠΈ Π² Ρ‚ΠΎΠΌ числС ΡƒΡΡ‚Ρ€Π°Π½ΡΡ‚ΡŒ Π² Π½Π΅ΠΉ ошибки ΠΈ уязвимости. Компании MediaTek ΠΈ Qualcomm основали свои Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΊΠΎΠ΄Π΅ΠΊΠΎΠ² ALAC Π½Π° ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠΌ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠ΅ΠΉ Apple ΠΊΠΎΠ΄Π΅, Π½ΠΎ Π½Π΅ ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°Π»ΠΈ Π² своих Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Π°Ρ… исправлСния уязвимостСй, устраняСмых Π² Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΎΡ‚ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Apple.

О проявлСнии уязвимости Π² ΠΊΠΎΠ΄Π΅ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ², Ρ‚Π°ΠΊΠΆΠ΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΠΈΠΉ ΠΊΠΎΠ΄ ALAC, ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΏΠΎΠΊΠ° Π½Π΅Ρ‚. НапримСр, Ρ„ΠΎΡ€ΠΌΠ°Ρ‚ ALAC поддСрТиваСтся начиная с FFmpeg 1.1, Π½ΠΎ ΠΊΠΎΠ΄ с Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠ΅ΠΉ Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊΠ° Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎ сопровоТдаСтся.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ