Check Point ha identificato una vulnerabilità nei decoder del formato di compressione audio ALAC (Apple Lossless Audio Codec) offerti da MediaTek (CVE-2021-0674, CVE-2021-0675) e Qualcomm (CVE-2021-30351). Il problema consente l'esecuzione del codice dell'aggressore durante l'elaborazione di dati appositamente formattati in formato ALAC.
Il pericolo della vulnerabilità è aggravato dal fatto che colpisce i dispositivi con piattaforma Android dotati di chip MediaTek e Qualcomm. Come risultato dell'attacco, l'aggressore può organizzare l'esecuzione di malware su un dispositivo che ha accesso alle comunicazioni dell'utente e ai dati multimediali, compresi i dati della fotocamera. Si stima che 2/3 di tutti gli utenti di smartphone basati sulla piattaforma Android siano interessati dal problema. Ad esempio, negli Stati Uniti, la quota totale di tutti gli smartphone Android venduti nel quarto trimestre del 4 dotati di chip MediaTek e Qualcomm è stata del 2021% (95.1% - MediaTek, 48.1% - Qualcomm).
I dettagli sullo sfruttamento della vulnerabilità non sono ancora stati resi noti, ma è stato riferito che i componenti MediaTek e Qualcomm per la piattaforma Android sono stati patchati nel dicembre 2021. Un rapporto di dicembre sulle vulnerabilità della piattaforma Android ha identificato i problemi come vulnerabilità critiche nei componenti proprietari dei chip Qualcomm. La vulnerabilità nei componenti MediaTek non è menzionata nei rapporti.
La vulnerabilità è interessante per le sue radici. Nel 2011, Apple ha aperto il codice sorgente del codec ALAC, che consente la compressione dei dati audio senza perdita di qualità, sotto la licenza Apache 2.0, e ha reso possibile l'utilizzo di tutti i brevetti relativi al codec. Il codice è stato pubblicato ma non è stato mantenuto e non è stato modificato negli ultimi 11 anni. Allo stesso tempo, Apple ha continuato a supportare separatamente l'implementazione utilizzata nelle sue piattaforme, eliminando anche errori e vulnerabilità in essa contenute. MediaTek e Qualcomm hanno basato le loro implementazioni del codec ALAC sul codice open source originale di Apple, ma non hanno incluso nelle loro patch le vulnerabilità affrontate nell'implementazione di Apple.
Non ci sono ancora informazioni sulla vulnerabilità nel codice di altri prodotti che utilizzano anche il codice ALAC obsoleto. Ad esempio, il formato ALAC è supportato da FFmpeg 1.1, ma il codice con l'implementazione del decodificatore viene mantenuto attivamente.
Fonte: opennet.ru