Check Point MediaTek (CVE-2021-0674, CVE-2021-0675) және Qualcomm (CVE-2021-30351) ұсынған ALAC (Apple Lossless Audio Codec) аудио қысу пішімінің декодерлеріндегі осалдықты анықтады. Мәселе ALAC пішімінде арнайы пішімделген деректерді өңдеу кезінде шабуылдаушы кодын орындауға мүмкіндік береді.
Осалдықтың қауіптілігі оның MediaTek және Qualcomm чиптерімен жабдықталған Android платформасында жұмыс істейтін құрылғыларға әсер етуімен күшейеді. Шабуыл нәтижесінде зиянкес пайдаланушы байланыстары мен мультимедиялық деректерге, соның ішінде камера деректеріне қол жеткізе алатын құрылғыда зиянды бағдарламаның орындалуын ұйымдастыра алады. Android платформасына негізделген барлық смартфон пайдаланушыларының 2/3-і мәселеге әсер етеді деп есептеледі. Мысалы, АҚШ-та MediaTek және Qualcomm чиптерімен жеткізілген 4 жылдың 2021-тоқсанында сатылған барлық Android смартфондарының жалпы үлесі 95.1% (48.1% - MediaTek, 47% - Qualcomm) құрады.
Әлсіздікті пайдалану туралы мәліметтер әлі ашылған жоқ, бірақ Android платформасына арналған MediaTek және Qualcomm құрамдастары 2021 жылдың желтоқсанында патчталғаны хабарланды. Желтоқсан айындағы Android платформасындағы осалдықтар туралы есеп бұл мәселелерді Qualcomm чиптерінің меншікті құрамдас бөліктерінің маңызды осалдықтары ретінде анықтады. MediaTek құрамдастарының осалдықтары есептерде айтылмаған.
Осалдық оның тамырына байланысты қызықты. 2011 жылы Apple Apache 2.0 лицензиясы бойынша дыбыстық деректерді сапаны жоғалтпай қысуға мүмкіндік беретін ALAC кодекінің бастапқы кодын ашты және кодекке қатысты барлық патенттерді пайдалануға мүмкіндік берді. Код жарияланды, бірақ сақталмай қалды және соңғы 11 жыл бойы өзгертілмеді. Сонымен бірге, Apple өз платформаларында қолданылатын енгізуді, соның ішінде ондағы қателер мен осалдықтарды жоюды бөлек қолдауды жалғастырды. MediaTek және Qualcomm өздерінің ALAC кодектерін іске асыруды Apple компаниясының бастапқы ашық бастапқы кодына негіздеді, бірақ олардың патчтарында Apple енгізуінде қарастырылған осалдықтарды қамтымады.
Ескірген ALAC кодын пайдаланатын басқа өнімдердің кодындағы осалдық туралы әлі ақпарат жоқ. Мысалы, ALAC пішіміне FFmpeg 1.1 нұсқасынан бері қолдау көрсетіледі, бірақ декодер іске асырылатын код белсенді түрде сақталады.
Ақпарат көзі: opennet.ru