Check Point a identifié une vulnérabilité dans les décodeurs de format de compression audio ALAC (Apple Lossless Audio Codec) proposés par MediaTek (CVE-2021-0674, CVE-2021-0675) et Qualcomm (CVE-2021-30351). Le problème permet à un code malveillant d'être exécuté lors du traitement de données spécialement formatées au format ALAC.
Le danger de la vulnérabilité est aggravé par le fait qu'elle affecte les appareils exécutant la plateforme Android équipés de puces MediaTek et Qualcomm. À la suite de l'attaque, un attaquant peut organiser l'exécution de logiciels malveillants sur un appareil ayant accès aux communications des utilisateurs et aux données multimédia, y compris les données de la caméra. On estime que 2/3 de tous les utilisateurs de smartphones basés sur la plateforme Android sont concernés par le problème. Par exemple, aux États-Unis, la part totale de tous les smartphones Android vendus au 4e trimestre 2021 et livrés avec des puces MediaTek et Qualcomm était de 95.1 % (48.1 % - MediaTek, 47 % - Qualcomm).
Les détails de l'exploitation de la vulnérabilité n'ont pas encore été divulgués, mais il est rapporté que les composants MediaTek et Qualcomm pour la plateforme Android ont été corrigés en décembre 2021. Un rapport de décembre sur les vulnérabilités de la plate-forme Android a identifié les problèmes comme des vulnérabilités critiques dans les composants propriétaires des puces Qualcomm. La vulnérabilité des composants MediaTek n'est pas mentionnée dans les rapports.
La vulnérabilité est intéressante en raison de ses racines. En 2011, Apple a ouvert le code source du codec ALAC, qui permet de compresser les données audio sans perte de qualité, sous la licence Apache 2.0, et a permis d'utiliser tous les brevets liés au codec. Le code a été publié mais n'a pas été mis à jour et n'a pas été modifié au cours des 11 dernières années. Dans le même temps, Apple a continué de prendre en charge séparément la mise en œuvre utilisée dans ses plates-formes, notamment en éliminant les erreurs et les vulnérabilités. MediaTek et Qualcomm ont basé leurs implémentations de codec ALAC sur le code open source original d'Apple, mais n'ont pas inclus dans leurs correctifs les vulnérabilités corrigées dans l'implémentation d'Apple.
Il n'y a pas encore d'informations sur la vulnérabilité dans le code d'autres produits qui utilisent également le code ALAC obsolète. Par exemple, le format ALAC est pris en charge depuis FFmpeg 1.1, mais le code avec l'implémentation du décodeur est activement maintenu.
Source: opennet.ru