ProHoster > وبلاگ > اخبار اینترنتی > یک آسیب‌پذیری در موتورهای رمزگشایی ALAC مدیاتک و کوالکام، اکثر ... Android-دستگاه‌ها

یک آسیب‌پذیری در موتورهای رمزگشایی ALAC مدیاتک و کوالکام، اکثر ... Android-دستگاه‌ها

شرکت Check Point یک آسیب‌پذیری در رمزگشاهای فشرده‌سازی صدای ALAC (Apple Lossless Audio Codec) ارائه شده توسط MediaTek (CVE-2021-0674، CVE-2021-0675) و Qualcomm (CVE-2021-30351) شناسایی کرده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد هنگام پردازش داده‌های ALAC دستکاری‌شده، کدی را اجرا کنند.

خطر این آسیب‌پذیری با این واقعیت که دستگاه‌هایی که از این پلتفرم استفاده می‌کنند را تحت تأثیر قرار می‌دهد، دوچندان می‌شود. Androidمجهز به تراشه‌های مدیاتک و کوالکام است. در نتیجه این حمله، مهاجم می‌تواند بدافزار را روی دستگاه اجرا کند و به ارتباطات و داده‌های چندرسانه‌ای کاربر، از جمله داده‌های دوربین، دسترسی پیدا کند. تخمین زده می‌شود که دو سوم از کل کاربران تلفن‌های هوشمند که از این پلتفرم استفاده می‌کنند، تحت تأثیر این مشکل قرار دارند. Androidبرای مثال، در ایالات متحده، سهم کل خودروهای فروخته شده در سه ماهه چهارم 2021 Android- گوشی‌های هوشمند عرضه شده با تراشه‌های مدیاتک و کوالکام ۹۵.۱٪ (۴۸.۱٪ - مدیاتک، ۴۷٪ - کوالکام) را تشکیل می‌دادند.

جزئیات نحوه‌ی سوءاستفاده از این آسیب‌پذیری هنوز فاش نشده است، اما گزارش شده است که اجزای مدیاتک و کوالکام برای این پلتفرم Android اصلاحات در دسامبر 2021 انجام شد. در گزارش آسیب‌پذیری پلتفرم در ماه دسامبر Android این مشکلات به عنوان آسیب‌پذیری‌های بحرانی در اجزای اختصاصی تراشه‌های کوالکام شناسایی شده‌اند. آسیب‌پذیری موجود در اجزای مدیاتک در گزارش‌ها ذکر نشده است.

این آسیب‌پذیری به دلیل ریشه‌هایش جالب است. در سال ۲۰۱۱، اپل کد منبع کدک ALAC را که فشرده‌سازی بدون اتلاف صدا را امکان‌پذیر می‌کند، تحت مجوز آپاچی ۲.۰ منتشر کرد و تمام پتنت‌های مرتبط را در دسترس عموم قرار داد. این کد منتشر شد، اما در ۱۱ سال گذشته بدون تغییر و نگهداری باقی ماند. در همین حال، اپل به طور جداگانه از پیاده‌سازی مورد استفاده در پلتفرم‌های خود، از جمله رفع اشکالات و آسیب‌پذیری‌ها، پشتیبانی کرد. مدیاتک و کوالکام پیاده‌سازی‌های کدک ALAC خود را بر اساس کد منبع باز اصلی اپل بنا نهادند، اما وصله‌های آنها نتوانست آسیب‌پذیری‌های برطرف شده در پیاده‌سازی اپل را برطرف کند.

در حال حاضر هیچ اطلاعاتی در مورد آسیب‌پذیری در سایر محصولاتی که از کد منسوخ‌شده‌ی ALAC استفاده می‌کنند، وجود ندارد. به عنوان مثال، فرمت ALAC از زمان FFmpeg 1.1 پشتیبانی می‌شود، اما کد پیاده‌سازی رمزگشا به طور فعال نگهداری می‌شود.

منبع: opennet.ru

خرید هاست قابل اعتماد برای سایت های دارای حفاظت DDoS، سرورهای VPS VDS 🔥 خرید هاستینگ معتبر با محافظت در برابر حملات DDoS، سرورهای VPS و VDS | ProHoster